어떤 인터넷 애플리케이션이 귀하의 개인정보를 유출하고 있나요?

'파이낸스'는 360 브라우저가 사용자 사생활을 침해한다는 주제가 다시 한번 주목을 받았다고 종합 보도했다. 23일 상하이청년일보에 따르면 중국과학원 정보공학연구소가 주최한 '개인정보 보호' 학술세미나가 베이징에서 열렸다. 이날 회의에서 중국과학원 비밀기술공격방어핵심연구소가 작성한 '개인정보 유출 위험에 관한 기술 연구 보고서'를 통해 줄곧 보안이 뛰어나다고 알려진 360 브라우저가 공개됐다. , 실제로 아키텍처 설계 및 운영 원칙 측면에서 세 가지 주요 개인 정보 보호 문제가 있습니다. 보안 문제는 사용자 안전에 심각한 해를 끼칠 수 있습니다.

상하이청년일보(Shanghai Youth Daily)는 회의에 참석한 한 전문가의 말을 인용해 “이는 사용자 안전에 심각한 해를 끼칠 것”이라고 말했다.

이전 산업정보부가 360 보안 문제에 대해 조사에 착수하겠다고 공개적으로 밝힌 바 있지만, 아직까지 설득력 있는 조사 결과를 내놓은 권위 있는 기관은 없다. 정보 연구 전문 기관으로서 중국과학원이 발행한 보고서는 이 문제의 해결을 추진하는 데 중요한 기반이 될 수 있습니다.

'상하이청년일보'도 회의를 통해 중국과학원이 브라우저, 인스턴트 메시징, 전자상거래 등 현재 일반적으로 사용되는 인터넷 제품 및 서비스의 개인정보 보호 문제에 대한 전반적인 연구를 진행했다는 사실을 알게 됐다. , 커뮤니티 웹사이트 등 카테고리. 기자가 입수한 보고서 원문에 따르면, 브라우저 개인정보 보호 연구 장에서 중국과학원 정보공학연구소 연구원들이 360 보안 브라우저에 대해 상세한 연구와 분석을 진행하고 이를 요약했다. 360 Secure Browser의 존재 여부에는 사용자가 연 브라우징 페이지의 주소 수집, 브라우저 주소 표시줄에 사용자가 입력한 정보 수집, 백엔드 포트 예약 등 세 가지 주요 보안 문제가 포함됩니다. " 라이센스 계약에 명시된 기능 이외의 기능을 설치하는 명령입니다.

조사 과정에서 연구진은 전문적인 기술적 수단을 통해 전체 소프트웨어 실행 프로세스와 환경에 대해 종합적인 테스트를 실시한 결과 360에 실제로 보안 문제가 있음을 확인했으며 이는 실험실에서 여러 번 재현되었습니다. 연구원들은 보고서에서 사용자가 360 Secure Browser의 주소 표시줄에 완전한 URL을 입력하면 입력이 완료될 때까지 360 Browser가 사용자의 각 입력 데이터를 360 Company의 특정 서버로 순차적으로 전송한다는 예를 들었습니다. 그리고 전송되는 정보에는 사용자의 고유성을 판단할 수 있는 ID가 포함되어 있어 특정 사용자의 주소창 입력 및 검색 이력을 쉽게 추적하여 유출할 수 있습니다. 또 다른 분석에서는 “이러한 구성요소는 360 시큐어 브라우저의 불특정 기능을 구현하기 위해 기만적인 방식으로 컴퓨터에 다운로드될 수 있으며, 사용자의 컴퓨터에 악의적인 침입을 유발할 수도 있다”고 밝혔습니다.

실제로 지난 몇 달간 360보안소프트웨어는 보안과 개인정보 유출의 소용돌이에 휩싸이며 네티즌, 언론, 오피니언 리더, 관계 당국의 심문을 받기도 했다. 유명한 위조 방지 전문가인 Fang Zhouzi는 360 소프트웨어에 대해 보안 문제에 대해 반복적으로 의문을 제기했으며, 360이 사용자 개인 정보를 도용하고, 시스템 패치를 위장하고, 소프트웨어를 번들링 및 설치하고, '클라우드 제어'를 통해 사용자 컴퓨터를 원격으로 제어한다고 비난했습니다. 360은 이러한 문제와 의혹에 대해 직접 대응하지 않고 '경쟁사 박해'로만 분류했지만, 끊임없는 실제 사례로 인해 여전히 많은 사용자가 관심을 갖고 360을 제거했습니다. 세계 상위 500대 기업 중 일부도 내부적으로 문제를 발표했습니다. 360 시리즈 전체 제품을 금지하라는 알림입니다. CNZZ가 발표한 최신 데이터에 따르면 Fang Zhouzi가 위조 360을 단속하기 시작한 이후 360 브라우저의 시장 점유율은 1.6배 하락했으며 보수적으로 1천만 명의 사용자를 잃은 것으로 추정됩니다.

'360 개인정보 유출' 논란이 일자 지난 10월 25일 중국 공업정보화부 대변인이자 통신개발부 국장인 장펑(張峰)은 다음과 같이 밝혔다. Fang Zhouzi가 고소한 Qihoo 360 브라우징 조사에 산업정보기술(Information Technology)이 개입했습니다. "실제로 법률 및 규정을 위반한 것으로 확인되면 법에 따라 엄중하게 처리할 것입니다." 360은 즉시 제품을 품질감독검사검역총국과 공업정보기술부에 보내 검사를 받기로 했다고 발표했다.

보안 전문가이자 IDF(인터넷 억제 방어) 연구소 설립자인 완 타오는 360의 사전 예방적인 '검사 제출'이 거의 쓸모가 없다고 믿습니다.

Wan Tao는 360이 클라우드 제어 기술을 사용하므로 데스크톱 소프트웨어만으로는 문제를 감지하기 어렵다고 지적했습니다. 전체 프로세스와 환경을 테스트하고 평가해야만 문제를 더 잘 설명할 수 있습니다.

중국 런민대학교의 Shi Wenchang 교수는 보안 소프트웨어가 소프트웨어 보안 메커니즘 설계의 중요한 원칙 중 하나인 최소 권한 원칙(POLP, 최소 원칙)을 준수하지 않는다고 말한 적이 있습니다. 특권), 비기능 구현에 필요한 작업을 수행하기 위해 특수 권한을 사용하는 것입니다. 시스템 권한을 남용하면 사용자 시스템의 정보 보안에 영향을 미칩니다.

회의에 참석한 관련 전문가들은 “중국과학원의 연구 보고서와 각계각층의 360 소프트웨어의 보안에 대한 이전의 의구심에 따르면 360사는 360컴퍼니가 이러한 일련의 행위는 2011년 산업정보기술부가 공포하고 2012년 3월 15일 시행한 "인터넷 정보 서비스 시장 질서 규제에 관한 몇 가지 조항"의 해당 조항을 심각하게 위반한 것입니다.

'개인정보 유출 위험에 관한 기술 연구 보고서'에는 'V1.0'으로 표시되어 있으며, 발행자는 '기밀유지 기술 공격 및 방어 핵심 연구소, 중국 아카데미 정보 공학 연구소'입니다. of Sciences', 출시일은 2012년 11월이었습니다. .

다음은 "개인정보 유출 위험에 관한 기술 연구 보고서 V1.0"의 일부입니다.

서문

개인정보 유출 건수가 증가함에 따라 국내외에서 사건사고가 빈번하고 개인정보 보호에 대한 중요성이 강조되면서 일상 업무와 생활에서 컴퓨터 소프트웨어, 모바일 단말기, 첨단 기술로 인해 발생하는 개인정보 문제에 대한 사람들의 관심이 날로 높아지고 있습니다. 중국과학원 정보공학연구소 비밀기술공격방어핵심연구소는 현재 일반적으로 사용되는 소프트웨어 및 단말기 제품의 사용자 개인정보 보호에 대한 예비 조사를 실시하고, 실험적 연구를 통해 개인정보 보호와 관련된 몇 가지 위험을 발견했습니다. . 이 기사에서는 주로 일반적으로 사용되는 소프트웨어, 네트워크 서비스, 모바일 단말기 및 음향 광학 전자기학의 네 가지 측면에서 연구실의 연구 결과와 결과를 소개합니다. 기사의 내용은 개인 정보 보호와 관련된 문제에 관련 부서의 관심을 끌기를 희망하면서 사례 연구 및 데이터 재현에 중점을 둡니다.

이 기사는 북경대학교 인터넷 보안 기술 베이징 핵심 연구소의 도움을 받았습니다.

1? 일반적으로 사용되는 터미널 소프트웨어 및 사용자 개인 정보 보호

1.1 웹 브라우저

많은 웹 브라우저는 사용자 경험을 향상하고 개인화 된 서비스를 제공하며 개발을 위해 설계되었습니다. 광고 목적 및 기타 목적을 위해 사용자의 웹 검색 기록과 같은 개인 정보는 일반적으로 백그라운드에서 수집되어 서버에 업로드됩니다. 그러나 사용자의 개인정보를 수집하는 많은 행위는 사용자가 모르는 사이에 이루어지거나, 수집된 정보가 소프트웨어 "설치 라이센스 계약"에서 명확히 규정한 범위를 초과합니다.

연구소에서는 브라우저의 사용자 개인정보 유출 문제를 분석하고 연구하기 위해 360 보안 브라우저 최신 버전 5.0을 예로 들어 웹 브라우저의 개인정보 유출 위협이 존재하는 측면은 다음과 같습니다.

1) 백도어 및 이식 코드 예약: 일부 브라우저는 사용 중에 사용자 모르게 백그라운드에서 "설치 라이센스 계약"에 명시된 기능 이외의 기능을 수행합니다. 360 세이프 브라우징 서버는 거의 매 순간마다 서버와 통신합니다. 아래 그림과 같이 다운로드된 파일은 se.360.cn/cloud/cset18.ini 이지만, 데이터 흐름을 보면 실제로는 PE 파일임을 알 수 있습니다. 파일 헤더에 식별된 제품 이름은 DataDll입니다.

데이터 스트림에서 파일을 추출하여 dll 파일을 얻고, 파일 속성을 확인하고, 파일 설명을 "360 보안 브라우저? 보안 온라인 뱅킹"으로 가져옵니다.

Base64로 인코딩된 텍스트 정보가 파일에서 추출되었습니다.

W3N0XQ0KY291bnQ9Mg0KW3N0MV0NCmlkPTENCnVybD1odHRwOi8vd3d3LmJhaWR1LmNvbS9zZWFyY2gvcmVzc2FmZS5odG1sKg0KW3N0M l0NC mlkPTINCnVybD1odHRwOi8vdmVyaWZ5LmJhaWR1LmNvbS92Y29kZT8qDQpbdHJheW1zZ10NCnN0YXRpY3NpZD0zMQ0KY291bnQgPSAxDQp1cmwxPWh0dHA6Ly93d3cuYmFpZHUY29t L 3NlYXJjaC9yZXNzYWZlLmh0bWwqDQpbbWFpbl0NCmhrcmVzMj0xDQpjYmM9MQ0KW2NiY10NC nVybGNvdW50PTENCnVybDE9aHR0cDovL3d3dy5iYWlkdS5jb20vc2VhcmNoL3Jlc3NhZmUua HRtbCoNCmNiY2NvdW50PTINCmMxPUJBSURVSUQNCmMyPUJEVVNT

디코딩된 콘텐츠는 다음과 같습니다.

[ st]

count=2

[st1]

id=1

url=, 쿠키는 다음과 같은 경우에 첨부됩니다. 사용자 고유 플래그가 포함된 GUID 값을 사용하면 특정 사용자의 주소 표시줄 입력 및 검색 기록이 추적되어 유출될 수 있습니다.

아래 그림은 사용자가 360 Secure Browser 5.0의 주소 표시줄에 "weibo.com"을 입력하면 문자를 입력할 때마다 브라우저에서 sug.so.360을 보내는 것을 보여줍니다. 현재 브라우저 주소 표시줄의 콘텐츠(예: "w", "we", "wei", "weib", "weibo", "weibo.", "weibo.c", "weibo.co", "weibo. com").