“黑匣子事件”爆料人再驳360回应:那些事儿,你们全都做过!

@独立调查员:回避和狡辩无助于消除公众对360产品问题的质疑,我们真诚地建议360坦诚面对,而我们也将始终及时地、正面地、专业地回答360的任何“不满”。360媒体开放日即将举行,敬请关注后续报道。

钛媒体注:一波未平,一波又起。《每日经济新闻》针对360安全卫士的“黑匣子事件”之后,掀起又一场关于360“安全”的话题的辩论。2月26日晚,360方面接受钛媒体连线并授权独家发布了其技术部门对目前媒体的三大质疑的回应《360独家回应:那些事儿,我们没有做!》。而这些技术回应是否具有足够的说服力,是否无懈可击?《每日经济新闻》专题爆料人 @独立调查员 针对360的最新回应,再度发表文章《那些事儿,你们全都做过》再度进行驳斥。独立调查员在文章中说:

事实上,本次专题报道覆盖360软件产品的严重问题,远不止三个,如果有关媒体仅提出三个问题、或者360仅就三个问题作出选择性回应,都不是正确的态度。回避和狡辩无助于消除公众对360产品问题的质疑,我们真诚地建议360坦诚面对,而我们也将始终及时地、正面地、专业地回答360的任何“不满”。

能否再度拨开迷雾?@独立调查员 授权钛媒体全文发表如下:

(黑色内容是技术回应的原文,蓝色粗体是 @独立调查员 针对360回应的驳斥。

钛媒体:360如何回应《每日经济新闻》文章中“盗取个人隐私信息”的部分?

回应:360 产品从来不会窃取用户的隐私信息。作为隐私保护专业人士国际联合会(IAPP)的成员企业,360两年前已经将旗下所有产品的源代码托管给中国信息安全测 评中心,任何个人和机构都可以查看360产品的源代码。任何人、任何机构在查看源代码的过程中发现360产品中有侵犯用户隐私的可疑之处,都可以向相关部 门举报。
此外,360公司曾在2012年3月15日发布《用户隐私保护白皮书V2.0版》。以“透明、公开、自律、为用户服务”为主旨,《白皮书2.0版》不仅完善了原有360互联网服务中的产品信息,还新增了对360旗下各个无线产品工作原理和信息处理机制的详细阐述。
360软件行为遵从“四不三必须”的七个规范原则。即:“四不”是指:不该看的不看;不该传的不传;不该存的不存;不该用的不用。“三必须”是指:一切行为必须明示;必须经过用户许可;必须对收集的用户隐私信息负责。

1、360的回应属于实问虚答,没有一个字实质地回应专题中所列举的侵犯用户隐私权的相关证据指证,我们无法理解这种回应方式。
2、360的所谓代码托管具有高度欺骗性:1)360软件升级更新非常频繁,其声称托管在中国信息安全测评中心的代码与实际发行产品的代码不是一回 事;2)360所发行的软件仅是其云安全架构的客户端,而云服务器端是个黑匣子,完全掌握在360手里,任何第三方均无法给予其信任担保,也无法实施可验 证的核查。

钛媒体:针对文章中说的“存在极大潜在安全威胁的‘后门’”,360能不能出具技术上的证明(有或没有)?

回应:360 安全软件产品从未给用户安装所谓的“后门”。2010年2月,瑞星等公司曾传播“360给用户装‘后门’”,称360安全卫士在安装进用户电脑时,会私下 开设“后门”,而此“后门”存在巨大安全隐患。对此,北京市西城区法院已经就此事进行了公开审理,经调查法院认定,瑞星公司“捏造事实,以不正当竞争手段 恶意攻击奇虎360商业信誉和商品信誉”,法院判处,瑞星公司从事了侵犯奇虎360商业信誉、商品声誉的不正当竞争行为,其行为构成不正当竞争,应当承担 相应的侵权责任;判定瑞星公司立即停止针对360的不正当竞争行为,在相关媒体上连续10天发表道歉声明,并赔偿360公司20万元。

1、360的回应属于答非所问,我们在《360后门秘道:“上帝之手”,抑或“恶魔之手”?》一文中所述的“后门”是指“独立调查员”在2012年11月曝光的360浏览器后门,而非360回应所指。
2、没有理由相信360会“误以为”我们文章所述后门是2010年瑞星曝光的360产品问题,合理推论是360无法正面回应“独立调查员”在2012年11月曝光的360浏览器后门而故意转移焦点。
3、“独立调查员”在2012年11月曝光的360浏览器后门已获多方验证确认。

钛媒体:360浏览器有没有“偷梁换柱浸润电商网银安全体系”?如果没有,能否出具证据?

回应:这篇报 道故意将360绿色网站认证与VeriSign等国际证书认证机构混为一谈,并造谣称360屏蔽VeriSign认证。文章中截图IE浏览器所示的拦截信 息,是当用户访问网站中包含伪造SSL证书、过期证书时浏览器的拦截页面,360浏览器同样有对安全证书异常的报警提示,这是浏览器的基本功能!

1、《360绿色网站的安全谎言:“偷梁换柱”浸润电商网银安全体系》的中心思想是解构奇虎360宣扬的安全谎言:“解决网站难辨真伪问题:辨别钓鱼假冒网站,保护企业网站权益,让用户放心访问。”(来源:网站认证介绍 http://trust.360.cn/introduction.php),以揭露其安全承诺的欺骗性。

2、证书识别是浏览器内核功能,而非浏览器软件额外功能。众所周知,360浏览器软件的内核是IE和Chrome的内核,内核的功能特性并非360浏览器软件独有,而我们关注的是360浏览器软件独有的安全特性——网址栏的“认证铭牌”及其“网购保镖”的可信度问题。

3、 我们确认以下事实:1)所有网银均支持的浏览器内核是IE,用户访问网银时360浏览器软件亦自动切换为IE内核,在网银被DNS劫持的情况下其“认证铭 牌”并无证书风险提示(360回应中声称的“认证铭牌”证书风险提示仅限使用Chrome内核时),仍然显示正常认证信息;2)在网银被DNS劫持时,其 “网购保镖”仍然报告“可以放心网购”;3)网址栏看不到网银的SSL证书信息,只有“认证铭牌”,是谓“屏蔽”。

4、 360对网银的“浸润”还包括所谓“网银无忧”(自动安装网银安全控件)等,“网银无忧”干扰或拦截网银自身的自动下载和安装,且据了解并未取得各商业银 行的授权。另外,该功能的可用性非常低,网上有大量的安装失败报告记录,我们在测试时也多次发现安装失败,而网银自身的下载和安装并无此问题。

5、360浏览器软件以安全的名义在网银领域所伸的手太长了,但并未给用户带来实质性安全增加值,相反其虚假安全提示及错误操作反而可能误导用户信任钓鱼网站。我们认为360并非网银安全价值的建设者而是破坏者,我们对其浏览器软件深度涉入网银的动机高度存疑。

特别预告:360官方将于2月28日下午召开媒体开放日,敬请关注钛媒体的后续报道。

转载请注明出处、作者和本文链接
声明:文章内容仅供参考、交流、学习、不构成投资建议。
想和千万钛媒体用户分享你的新奇观点和发现,点击这里投稿 。创业或融资寻求报道,点击这里

敬原创,有钛度,得赞赏

赞赏支持
发表评论
0 / 300

根据《网络安全法》实名制要求,请绑定手机号后发表评论

登录后输入评论内容
1

扫描下载App

Baidu
map