独立调查员告诉记者,这份13分36秒的视频以完整的手法记录了破获360窃取用户隐私的证据。它证明了360在用户电脑中收集、上传用户信息的“动作”,“猖狂到任何简单的、常规的软件操作行为都将被记录,与安全问题完全无关,而这些信息都在用户个人隐私范畴”。
但据独立调查员宣称,这份视频资料并非其采集、制作,“而是来自一名自称是安全领域专家的匿名人士”,他通过微博私信向独立调查员爆料:自己已经掌握了360安全卫士7.3窃取用户隐私并上传到360服务器的司法证据,现在可以无偿将这段司法证据给他。
而关于这份证据,独立调查员认为,将是未来给360的“一颗小小的炸弹”,在法庭上是有力的呈堂证供。
据记者了解,去年11月28日,在易观国际主办的“易士堂”网络安全论坛(第二季)论坛上,这份视频资料也曾分享给包括国家信息中心、中国信息安全测评中心等安全业界人士;而最初制作这段视频并进行司法公证的正是金山安全专家李铁军。不过李铁军否认自己就是给独立调查员爆料的匿名人士。
据李铁军透露,2010年11月,卡饭安全论坛有人爆料称“360安全卫士7.3的某个版本会窃取用户隐私上传到360服务器”,爆料的内容非常简单,只提供了一个有趣的细节暗示:需要用户在360loginfo目录对删除权限做一个修改才有可能捕捉到360的罪证,帖子不久就消失了。
李铁军首先尝试重现帖子描述的问题,而不是对软件进行逆向分析,经过数月才完成了这一个证据的抓取。
“反反复复不知道试了多少回。”李铁军对《每日经济新闻》记者表示,凭借多年的经验,他终于找到了关键所在,比如有窃取隐私问题的360安全卫士版本号为 7.3.0.2003l,数字签名时间为2010年11月8日,要想重现必须将360loginfo访问权限修改为“所有人不可删除”;再比如安装时修改系统时间与2010年11月8日不能相差太久,安装前须断开网络(禁用网卡或拔网线)。
即使这样,也有一些情况在李铁军“意料之外”。
“开始想到的是禁用网卡和改360loginfo目录的访问权限,但奇怪的是,有时能在安装后几分钟内即可在360loginfo目录看到日志生成,有时等几小时都不能重现,于是尝试将系统日期从单数修改为双数或从双数修改为单数,结果很快看到奇怪的日志文件出现了。”李铁军表示,这几条重现规则是反复多次尝试之后才总结出来的。
而上述结果也在曝光之后第一时间得到IDF互联网情报威慑防御实验室的验证。2012年11月25日,该实验室发布报告表示,360安全卫士 v7.3.0.2003l所搜集用户软件操作信息,对用户隐私造成风险,若用户运行 某 一 程 序 ,360安 全 卫 士v7.3.0.2003l会把程序所在路径搜集并未经加密上传至360服务器。若360公司所存放信息的数据库泄露或传输数据被黑客截取进行社工分析,可造成用户的信息泄露。
万涛对《每日经济新闻》表示,根据之前的评测报告,360安全卫士v7.3.0.2003l对用户信息的处理涉嫌未遵守其中的用户知情权、选择权及禁止权,并在未获得个人信息主体的明确同意下记录和上传用户行为数据。
值得注意的是,已于2月1日正式生效的我国首个个人信息保护国家标准 《信息安全技术公共及商用服务信息系统个人信息保护指南》明确规定,个人信息获得者在收集个人信息时,需“具有特定、明确、合法的目的”。基于此,在收集前要采用个人信息主体易知悉的方式,向个人信息主体明确告知和警示如下事项:处理个人信息的目的;个人信息的收集方式和手段、收集的具体内容和留存时限;个人信息的使用范围、被收集后的个人信息保护措施、个人信息主体的投诉渠道;同时提醒个人信息主体提供个人信息后可能存在的风险和个人信息主体不提供个人信息可能出现的后果。且“只收集能够达到已告知目的的最少信息”。而信息获得者如需将个人信息转移或委托于其他组织和机构时,也需要向个人信息主体明确告知转移或委托的目的、转移或委托个人信息的具体内容和使用范围、接受委托的个人信息获得者的名称、地址、联系方式等。
很明显,360公司在个人信息的收集、加工、转移、删除等环节,明显将行业的游戏规则抛诸脑后,一意孤行地进行着暗箱操作。
