昨日,继安全机构发布360浏览器和360搜索多个安全漏洞后,广发证劵、国海证券、国信证券和海通证券四家证券公司接连发布内部紧急通知,禁止员工使用奇虎360安全卫士、360安全浏览器两款软件,并要求已安装这两款软件的员工尽快卸载。
国信证券公司内部邮件显示,“奇虎360公司旗下‘360安全卫士’、‘360安全浏览器’两款软件存在着重大安全漏洞。在未经许可情况下,360相关软件可能上传公司员工浏览记录、网页Cookie和临时文件数据至外网服务器,并通过360搜索被公司外其他人检索和浏览。” 在360浏览器的隐私策略中,注明了360安全浏览器会在您的计算机上记录有关浏览历史记录的实用信息。这些信息包括: 浏览历史记录、您访问过的大部分网页的的屏幕截图、Cookie或网络存储数据、访问网站时留下的临时文件、地址栏下拉列表、最近关闭的标签列表、关闭窗口时的未关闭标签列表、使用内置安全下载器的下载记录、浏览器插件中保存的内容等。由于360搜索采取通过浏览器抓取数据的方式,这些内容都有可能通过360搜索被直接暴露到搜索结果中。 由于涉及隐私安全问题,银行证券等金融行业对360软件一直采取非常谨慎的态度,此次360搜索通过浏览器抓取用户隐私,或将成为一个导火索,引发金融企业大面积卸载360浏览器和安全产品。 记者对此采访了专注于互联网安全的乌云漏洞平台的技术专家,他表示:“从现有的一些案例来看,360搜索会通过360安全卫士和360浏览器将用户平时浏览网页的信息反馈给360的搜索爬虫服务器,然后再由爬虫对相关信息进行抓取,这就可能会造成许多网站不能对外的如后台地址,内部系统等暴露在搜索结果里,引发敏感数据的泄露,360搜索爬虫无视robots协议,违规抓取网站内容,尽管在后续的对相应数据有调整,但仍有潜在威胁,因为对于像证券公司、银行这些企业来说,对数据的安全要求性非常高,如果造成数据泄露,就会造成较大影响。” 360软件安全漏洞与搜索引擎结合带来的问题并不是首次被提及。早在2010年末,杀毒软件金山公司就公开发布声明,指出360通过客户端秘密收集用户信息,并导致大量中国互联网用户使用互联网的隐私记录泄露,造成中国互联网史上最为严重的隐私搜集及泄密事件。 记者了解到,除了对安全系统有较高要求的证券公司,不少普通用户最近也开始担忧被360曝光隐私。微博上有不少网友爆料,不仅国内知名网游的后台订单,优惠码等敏感记录被360抓取,甚至一些用户的电子邮箱、帐号、密码也被360通过浏览器悄然记录在案。
来源地址:http://tech.qq.com/a/20120829/000160.htm
|