360后門的安全之殤/

　　360安全瀏覽器設(shè)計出來的后門，恰恰給用戶帶來了極大的不安全。

　　為了讓用戶知道這個后門的惡劣程度，一直涉足互聯(lián)網(wǎng)安全工作的騰訊集團(tuán)副總裁曾宇，對沒有后門的瀏覽器的重要性做了解答（如下圖）。

　　一般個人用戶的電腦中，90%以上為windows系統(tǒng)，這套系統(tǒng)與互聯(lián)網(wǎng)之間的聯(lián)系，是需要瀏覽器來實現(xiàn)的，同時，因為瀏覽器的閉環(huán)作用

　　（可以理解為沒有縫的雞蛋殼，除非用戶特別授權(quán)），其也是windows系統(tǒng)與互聯(lián)網(wǎng)之間的天然屏障，任何來自于其他云端的指令等，都不會穿透這層保護(hù)而到達(dá)windows系統(tǒng)。這樣，用戶電腦中的windows系統(tǒng)得到最好的保護(hù)，所有執(zhí)行的指令，都是來自于用戶自己。

　　而IDF互聯(lián)網(wǎng)情報威懾防御實驗室創(chuàng)始人萬濤則對瀏覽器后門做了解讀。他說，被稱作360“安全”的瀏覽器，卻有一個特殊的資源文件，這個資源文件硬生生地將這個蛋殼打開了一條縫，而且是一條用戶看不到的縫。

　　通過這個后門，360瀏覽器可以根據(jù)監(jiān)視用戶電腦操作過程中出現(xiàn)的情況，向360云安全中心發(fā)出請求，360云端的后門服務(wù)體系根據(jù)請求，給出相應(yīng)的DLL，即windows可執(zhí)行程序庫。這個DLL通過360瀏覽器的后門，直接進(jìn)入用戶的windows系統(tǒng)。

　　此時，這個DLL好生了得，它甚至已不受瀏覽器的控制，它在用戶windows系統(tǒng)中可做的事情包括但不限于：

　　獲取用戶的文件，并上傳到云端；

　　讀寫、增刪用戶的文件；

　　監(jiān)聽用戶通訊；

　　更改windows系統(tǒng)的注冊表或重要的設(shè)置參數(shù)；

　　悄悄卸載競爭對手的產(chǎn)品，等等。

　　同時，這個DLL還可以通過這個后門，直接對互聯(lián)網(wǎng)發(fā)出指令，包括但不限于：

　　自動從360服務(wù)器下載軟件來安裝或運行；

　　代替用戶直接進(jìn)行電子商務(wù)操作；

　　釋放木馬或病毒、創(chuàng)建常駐系統(tǒng)的服務(wù)，等等。

　　360是否做了這些呢？如果做了，對其自身又會有怎樣的價值呢？會對行業(yè)、用戶帶來怎樣的傷害呢？沒有人知道答案。

　　“搞清楚這些細(xì)節(jié)后，我就著手重現(xiàn)后門機(jī)制的運作，讓本來不可見的過程變得可見，以做可視化演示，讓大家不僅能感知而且能 ‘看到’360暗設(shè)的這道‘后門’。”獨立調(diào)查員表示。

　　在他看來，360那個后門每5分鐘都會找360服務(wù)器下載一個DLL并加載執(zhí)行，但它是個后門，隱蔽性第一，因此DLL無論如何不會現(xiàn)身，不存在彈出對話窗口或消息框，因此需要給它模擬一個測試環(huán)境。

　　“通過在本地架設(shè)DNS服務(wù)，劫持360.cn的域名解析，把我的機(jī)器偽裝成360的服務(wù)器，然后那個注入瀏覽器的DLL不就由我自由控制了么？”獨立調(diào)查員表示，通過編一個只要被加載執(zhí)行就馬上彈出消息框的DLL，拿自己寫的DLL注入給360瀏覽器，這就讓360瀏覽器的后門機(jī)制的運行完全可見了。

　　就這樣，瀏覽器果然如預(yù)期的那樣，把獨立調(diào)查員在DLL里面寫的消息框給彈出來了。

　　“被活捉啊！”從去年10月29日的公開信到11月5日的反向工程分析研究，前后僅為六天（僅利用業(yè)余時間）。

　　一個細(xì)微的細(xì)節(jié)是，獨立調(diào)查員為了讓更多的用戶知道360暗藏后門的事實，還將其調(diào)查結(jié)果通過65分鐘不間斷的視頻進(jìn)行全網(wǎng)絡(luò)直播。由于要保證視頻內(nèi)容真正做到65分鐘不間斷、不剪接，而實際上他花費了4個多小時一次次現(xiàn)實演示，直至實現(xiàn)一次性完成，才算真正完成這一取證工作。

　　獨立調(diào)查員指出，可執(zhí)行文件DLL絕非軟件的自動更新（軟件更新是持久性的），360安全瀏覽器自動更新僅在啟動時執(zhí)行一次，與此行為無關(guān)；而它也不是瀏覽器的一部分，下載、暫存、加載調(diào)用后將立即被刪除，完成使命后，不留任何痕跡。