谁解网络安全之结
一份来自中国科学院信息工程研究所的内部报告,让360搜索再度陷入侵犯用户隐私、泄露网友信息的质疑中,也让社会各界对于网络安全的担忧和关心愈演愈烈。在上网购物、聊天、办公等日益成为现代人生活一部分,信息社会日渐成熟的当下,该如何维护用户的隐私,确保网络安全?多名专家向《中国科学报》记者表示,用户的网络隐私应当受到法律的保护,并需要更多的行业自律来推动我国隐私保护的司法完善,也需要成立专门的网络隐私权保护自律组织。多份报告直指网络安全
这场网络安全的风波来得似乎悄无声息。
如果说一个月前的“方舟子大战周鸿祎”,社会各界对于360搜索是否侵犯网友隐私尚存疑惑,那么这次来自内部会议的报告,却让质疑多了一份证据。
11月21日,中科院信息工程研究所主办的“隐私保护”学术研讨会在京召开。会议邀请了包括人民大学教授石文昌等多位高校代表,共同研讨网络时代的网络安全和用户隐私问题。
在这个未对媒体公开的研讨会上,主办方发布了由中科院保密技术攻防重点实验室研究撰写的《个人隐私泄露风险的技术研究报告》,从常用软件、网络服务、移动终端以及声光电磁等4个方面介绍了实验室的研究结果和发现,涉及浏览器、即时通讯、电子商务、社区网站等多个类别的内容。
《中国科学报》记者获得的这份报告内容显示,目前网民日常使用的许多网络服务都存在泄露隐私的风险,国内外许多知名互联网公司的产品榜上有名,包括360浏览器、微软的Hotmail、谷歌的Gmail等。
从报告原文来看,以360为例,在浏览器隐私保护情况的研究章节里,研究人员对360安全浏览器进行了详细研究和分析,并归纳列举出该浏览器存在的3大安全问题,其中包括:收集用户打开过的浏览页面地址、收集用户在浏览器地址栏输入的信息以及预留后台端口,在用户不知情的情况下利用云端指令,在后台执行《安装许可协议》规定之外的内容等。
调查中,研究人员通过专业技术手段,对整个软件运行过程及环境进行了综合测试,证实了“360确实存在安全问题”,并在实验室进行了多次复现。报告举例称,当用户在360安全浏览器地址栏中输入一个完整的网址时,浏览器会向360特定服务器依次发送用户的每一次输入数据,直至输入完成,发送的信息包含了能够确定用户唯一性的ID,这可能会导致特定用户的地址栏输入信息和浏览记录容易被跟踪和泄露。同时,有分析显示,“这些组件或以欺骗的方式被下载到电脑以实现360安全浏览器的某些未明示的功能,也可能造成用户的电脑被恶意侵入”。
11月22日,参与会议的石文昌在个人微博上,首次向外界谈及此次会议的内容,并上传了研究报告的封面。此后,有关大企业涉嫌侵犯网友隐私权的新闻陆续出炉。
11月30日,《中国科学报》记者联系到信息工程研究所副所长孙德刚。他向记者确认,这份报告确实出自该所举办的内部学术研讨会议。但是,这次会议只是一个针对部分学者的研究课题讨论会,对于部分安全软件的分析和演示也是出于研究的角度进行考量,并不单独针对任何公司。“现在这份报告被媒体刊发了,我们有些被人利用的感觉。好像变成一些公司相互攻击的材料了。”
对此,中国中文信息学会常务理事白硕认为,只要不泄密,不违反科学伦理,研究人员没有能力也没有义务判断这个研究是否会被拿来炒作。“谁炒作是谁的问题,绝不应该怪到研究人员头上。不是没授权就不该公开,而是没禁止就可以公开。”
尽管孙德刚对于研究报告被媒体发布表示“很无奈”,但不可否认,正是这份报告揭开了网友对于网络安全的质疑。
11月25日,互联网威慑防御实验室(IDF)也随即公开发布了两份独立检测报告,直指360浏览器存在疑似后门的机制,对用户信息安全构成潜在威胁。
IDF相关人员介绍,一般来说,浏览器所涉及到的用户隐私主要包含两方面:第一,当前的PC端浏览器都有账户密码保存的功能,很多用户在浏览网站时习惯自动保存账户密码,而这些信息是保存在用户本地电脑上的,存在被恶意读取或窃取的风险。一旦读取其明文,便相当于用户的账户、密码信息已经被泄露。第二,浏览器的历史浏览记录等用户操作的信息,对于部分用户来说会涉及个人隐私,这些记录同样存在被恶意者读取的情况,从而造成隐私泄露。
IDF创始人、IBM大中华区云计算服务部首席安全顾问万涛指出,通过实验证实,360浏览器存在不明文件下载机制,加载这些文件将对上述用户信息及系统安全造成的影响完全由被下载的文件内容所决定。这种机制对于浏览器软件来说是不恰当的,也并未在360发布的隐私保护白皮书及安装许可协议中提及,360官方至今也未对该机制作出合理解释。同时,该机制的存在也给骇客提供了更多机会植入恶意代码。
万涛强调,IDF的报告是中立的,选择在这个时候发布,是为了说明网络安全的紧迫性,也为了证明“民间网民的举报不是捏造的”。
页:
[1]