360"安全"浏览进行技术分析
360公司称:360安全浏览器体积小巧、速度快、极少崩溃,并拥有翻译、截图、鼠标手势、广告过滤等几十种实用功能,已成为广大网民上网的优先选择。
但是瑞星研发部门通过对360"安全"浏览(3.5.0.6版本)进行技术分析,发现存在以下2类"特殊"行为:
一:使用黑名单监控用户电脑中竞争对手产品及网吧管理软件。
目前发现被监控的软件包括:IE, 搜狗浏览器,遨游,TT浏览器,火狐,Chrome,世界之窗浏览器共7种竞争对手产品。
二:监控百度、GOOGLE(谷歌)搜索引擎的用户使用并诱导分流。
通过分析我们发现360监控用户使用百度和GOOGLE(谷歌)搜索引擎时插入广告,这是典型的劫持搜索引擎行为。
在劫持配置文件1.0.0.1004版中,充值卡、网银相关的劫持URL有108 个。点卡相关的劫持URL有76个。
注: "什么是搜索引擎劫持?"人民问答解释:搜索引擎劫持是指未经用户授权,自动修改第三方搜索引擎结果的软件。通常这类程序会在第三方搜索引擎的结果中添加自己的广告或加入网站链接获取流量等。(出处人民网)
一、使用黑名单监控用户电脑中竞争对手产品及网吧管理软件
在安装360"安全"浏览器时(3.5.0.6)安装程序会监控收集用户电脑上的浏览品竞争产品信息,并上传至今360的"云服务"器上。URL为 seupdate.360safe.com/inst.htm
上传的信息包括:用户的身份ID及 使用产品信息
监控竞争产品包括:
IE浏览器 出品公司:微软
搜狗浏览器 出品公司:搜狐
遨游 出品公司:遨游
遨游2 出品公司:遨游
TT浏览器 出品公司:腾讯
火狐 出品公司:谋智网络
Chrome 出品公司:GOOGLE(谷歌)
世界之窗浏览器 出品公司:凤凰工作室
同时监控用户是否是在网吧环境(检测是否安装以下常用的网吧管理软件:PubwinClient,wx2004Clt,i8desk,EYOOCLIENTSTATUS,STVDISKX,iCafe8,XunShanPro)。
以下为上传信息时的抓包截图:
URL:
判断用户是否在网吧环境代码截图:
二、监控百度、GOOGLE(谷歌)搜索引擎的用户使用并诱导分流(劫持搜索引擎)
当用户使用360"安全"浏览器进行百度搜索时,360会监控用户输入的关键字并与"云服务端"更新下载来的监控关键字进行比对,一旦发现用户输入的为监控关键字就按照"云服务端"下载的配置指令文件进行操作(在正常的百度界面中弹出360的插入广告)。
如图:用户搜索"搜狐点卡"时提示特价点卡!
如图:用户搜索"充手机"
配置指令文件。
内容如下:
[main]
ver=1.0.0.1004
url= http://se.360.cn/v3/download/addon/pluginbar/data.z
然后根据配置文件指定的下载地址,下载一个纯资源的DLL。
从data.dll中可以提取出一个INI文件,这个INI文件就是流量劫持用的配置文件。
1.0.0.1004版中,充值、网银相关的URL有108 个。点卡相关的URL有76个。
360浏览器每次启动时,都会从http://se.360.cn/v3/download/addon/pluginbar/ver.ini?[数字]下载。
按照1.0.0.1004的配置,当在百度或者谷歌中搜索"充手机"、"充话费"、"中国移动手机充值卡"等关键词的时,就会弹出360手机充值中心的推广信息。相当吸引眼球。这意味着用户在百度上搜索ini文件中的关键字时,都将被360监控并将流量引导到360自己的网站中。
网友评论