继IDF实验室、中科院下属实验室接连发布针对360的检测报告,证实360软件存在暗藏后门、泄露隐私等安全问题之后,近日,国内知名网络安全漏洞报告平台“乌云”再曝360安全浏览器存在高风险钓鱼欺诈漏洞。安全专家分析指出,这一漏洞,将为不法分子进行钓鱼欺诈、尤其是网银钓鱼欺诈提供极大便利。
乌云平台在其官方网站及微博上披露了360安全浏览器的这一漏洞细节:在360安全浏览器自身的资源文件中存在一个xss漏洞,这个该漏洞导致浏览器对网页输入不作校验,从而致使浏览器地址栏显示的网页地址与真实页面不符,形成钓鱼欺诈漏洞。漏洞发现者、乌云平台白帽子(安全技术爱好者)“唐尸三摆手”介绍指出,360安全浏览器中存在的这个重大安全漏洞,如果被不法分子控制,就可以诱导用户在访问任意网址时,表面上都展示正常的域名,而实际进入的却是不法分子伪造的网页。
在安全专家看来,这一漏洞将为网银钓鱼等网络诈骗活动提供极大便利。一位不愿透露姓名的安全专家告诉记者,360浏览器的这个漏洞很容易被别有用心的不法分子利用,当网银用户使用360浏览器访问银行网站时,极有可能被诱导至不法分子预先设置的钓鱼欺诈网站,而由于域名显示正常,用户很难发现问题。这样一来,用户的银行账户信息和密码就很可能被不法分子获得,进而带来无法估量的财产损失。
资料显示,网银钓鱼一直是对用户危害最严重的安全威胁,不法分子往往通过搭建与正规银行官网高度相似的钓鱼网站,诱骗用户输入姓名、身份证、银行账户、密码等敏感信息。网民一旦中招会导致银行账户被洗劫一空。就在今年十月,震惊全国的“浮云”网银木马案告破,涉案金额超过1000万元。
对于360安全浏览器的这一漏洞,乌云漏洞报告平台调侃称,该漏洞“欺骗效果颠覆三观”,并呼吁网民“防火防盗防被钓”。在其官方微博中,乌云漏洞报告平台明确指出,“这漏洞可以高度伪造任意网站,提醒360浏览器用户尽快升级了。”
实际上,360浏览器的相关安全问题早已多次被曝光。除此次乌云漏洞事件外,近几个月来,不少技术爱好者、第三方检测机构都相继指出了360在安全技术上存在着的不同缺陷和严重问题:例如方舟子及众多网友发现360浏览器存在串号现象可能泄露用户隐私;技术爱好者“独立调查员”发现360浏览器暗藏后门;中科院内部资源显示360浏览器存在收集记录用户隐私数据等三大安全隐患;IDF实验室验证360安全卫士在用户不知情的情况下,搜集用户软件操作信息并上传至服务器等等。
然而,360作为国内第一大安全厂商,在面对第三方人士和机构指出的安全问题时,却并没有提供令人信服的解释,而是以“竞争对手造谣”或“其他公司问题”为由进行敷衍,甚至屡有公关打击、起诉媒体及专家等行为,引发众多业内人士不满。从此次乌云平台曝光漏洞的情况或许能略见一斑:乌云平台提交漏洞的时间为10月14日,而正式公布细节则已时隔一个半月之久,这期间是否受到来自360公司方面的压力我们不得而知,但可以确定的是,对于一个关系着数亿用户网络安全的重大隐患来说,厂商承认并解决问题的时间拖得越长,对用户的威胁就越大。
在记者发稿前,乌云再度曝出360安全浏览器另一挂马漏洞——通过这一360安全浏览器远程代码执行漏洞,恶意攻击者可以绕过360安全防护并且成功远程控制用户浏览器种植后门。
