360与《每经》争端鸣响移动互联网时代安全警钟
罗超为雷锋网、TECH2IPO撰稿。2013年7月8日发表。
日前 360 又被《每日经济新闻》的报道推到风口浪尖。自 2 月 26 日开始《每日经济新闻》连发多篇报道指责 360“安全问题”。7 月 4 日发文称"360 在用户隐私信息获取方面,已经突破了道德和法律的底线”。本次报道披露的期货证券信息泄露的问题,涉及到互联网金融安全,在业界反响巨大。在 2 月份《每经》首次对 360 进行长篇报道后,360 旋即逐条反驳并起诉对方。这次 360 声称将追加对《每经》的起诉。
据网友爆料,《每经》及其隶属的《成都商报》已经被国内某互联网巨头老板投资。因此其报道被质疑为互联网公司商战中的舆论攻防战役。撇开公司之间的恩恩怨怨,冷静思考,移动互联网时代我们究竟需要什么样的安全?谁来给我们安全感?
一、免费颠覆传统杀毒软件
周鸿祎凭着其倡导的“破坏式颠覆”的微创新哲学,从安全助手入手,先是与卡巴斯基等老牌杀毒软件合作,进而继续推出自有杀毒软件,并且永久免费。凭“免费”这一杀手锏颠覆了传统的杀毒产业。卡巴斯基、瑞星、金山毒霸、江民等杀毒软件在市场上一泻千里,摇摇欲坠。
四处寻求破解版杀毒软件、跪求杀毒软件泄露秘钥等行为已经是怀旧的过去式。那时候包年杀毒套餐超过 100 元,仍然有大量用户趋之如骛。彼时互联网病毒和木马泛滥,熊猫烧香作者李俊还没“进去”,360 安全助手之父、金山网络 CEO 傅盛也还臣服于周鸿祎麾下。
360 凭着其“免费+增值”的核心模式,快速攻城略地,成长为中国第二大桌面客户端,最终成功登陆纳斯达克。基于免费杀毒软件,360 建立了一个流量王国。利用客户端导入的流量,与浏览器协同,将流量贡献给网址导航和游戏。形成一套稳健的商业模式。这个模式的核心是流量。因此 360 客户端需要不断弹出通知窗口,引导用户点击进而获取用户流量,并在后端变现。
随之而来的干扰。用户需要面对各种弹窗。与安全卫士没任何关系的新闻、游戏、娱乐、资讯都殷勤地弹来弹去,让人腻烦。除了 360,迅雷等其他客户端均深谙弹窗大杀器的魄力。如同鸦片一样,客户端们明知道弹窗会伤害用户体验,但仍然乐此不疲。除了弹广告,据报道 360 也曾有过利用更新补丁的通道推广自家产品的行为。
我们享受了免费的福利,为此付出一定的时间成本、视觉污染成本,也是合情合理。但隐私问题却是每个用户最忌惮的底线。
二、隐私安全取代病毒成为最大的安全问题
移动互联网时代,互联网更加生活化。PC 正在变为众多计算设备的一种,而且不是最重要的。PC 将来可能只是用来完成一些大型的工程类任务的工具。例如绘图、编程、编辑、制表等。病毒和木马发源于 PC,在 PC 上具有更大的破坏力。但移动互联网并不是病毒和木马的乐土。
在传统 PC 互联网上,自从熊猫烧香病毒的大规模爆发之后,伴随着李俊“进去”,大规模破坏性病毒也销声匿迹。这既有 360 等安全软件的病毒查、杀、防技术的功劳,也有 WINDOWS 正在变得争气有关系。XP 时代病毒层出不穷核心原因还是 WINDOWS 系统的千窍百孔的漏洞。WIN7 开始漏洞减少,因此越来越安全。
这都让大规模病毒更难出现。
病毒的特征是具备自我复制扩散能力的恶意程序。其目的更多是破坏性,潜伏时起到控制电脑成为“肉鸡”,爆发时直接影响电脑正常工作。病毒本身是一套简单且粗暴的运作模式。在魔高一尺道高一丈的大环境下,病毒制造者们纷纷转战其他更有掘金机会的“黑客市场”。熊猫烧香李俊出来后,没有选择继续做病毒事业,日前因涉嫌网络赌博被警方控制。
PC 上的杀毒软件没了存在感。于是,电脑辅助管理、开机时间排名等功能成为杀毒软件的标配。智能手机上并未出现 PC 端类似的大规模病毒。背后的原因源自以下几个方面:
首先,有 PC 操作系统的教训在,智能手机操作系统设计时对安全性进行了更充分的考虑。例如 Root 权限、安装强制确认、一键还原等方面的设置。
其次,两大智能手机操作系统,安卓为开源系统,具有更好的自我修复能力和漏洞发现能力,因为人人可以帮助其发现漏洞;而 iOS 则依靠 AppSotre 的人工审核机制防止病毒。
再次,智能手机操作系统先进的自我升级机制,也优于 PC 操作系统。这让依赖系统漏洞的病毒机会又少了一些。
最后,智能手机所处的网络环境,限制了病毒程度的快速传播。
从市场已有产品来看,主打手机杀毒的网秦虽然成功上市,但其装机量、收入等指标却不乐观。传统的杀毒软件例如 360 和金山,前者主要是做手机辅助管理,其次才是安全。金山则主推电池医生,管电池甚至比管病毒还重要。
但是,移动互联网的安全诉求却比 PC 更加重要。PC 病毒影响的是工作是娱乐,造成的是经济损失。而移动互联网的安全问题将影响我们的真实生活。
移动互联网与人们的生活更加紧密的联系,智能设备具备的通信、摄像头、录音、定位等物理条件,存储的通讯录、照片、通讯记录等数据,承载的个人身份识别如短信验证码、微信的任务,导致手机的安全隐忧也从防病毒防木马变为防隐私泄露。人们丢失手机的痛苦,可能更多是来自号码的丢失,数据的丢失,隐私的泄露。
PC 在移动互联网时代承载的使命也在发生着巨变。电子商务、网银等功能,使得 PC 上的安全诉求从防病毒变为隐私安全。移动互联网时代,我们需要的不是杀毒,而是安全地生产、流通和消费信息。我们不只是需要设备安全,更需要信息的安全,即隐私安全。
三、我们需要什么样的安全服务?
既然隐私安全成为最核心的安全隐忧,那么新时代的安全软件的功能也将从查毒杀毒防毒变为隐私保护。我们需要的不只是一款软件,而是一套确保隐私安全的机制,或者体系。安全软件只是其中的一个组件。
1、如何确保互联网服务的安全
浏览器安全正在成为基础安全要求。
PC 端的发展趋势是越来越多的任务需要通过浏览器完成。不论是上网冲浪还是购物,都需要使用浏览器。开着电脑的同时往往会开着浏览器。而云计算、云应用的成熟也使得更多的数据、应用从本地硬盘向云端转移。在 PC 上这个转移的通道便是浏览器。这使得浏览器的安全与操作系统层面的安全同等重要。
这也是为什么主流浏览器都在主打安全概念的原因。360 安全浏览器、猎豹浏览器都在强调自己的安全。猎豹浏览器甚至还推出了赔付服务。使用猎豹时,出现因安全问题导致的损失可以申请理赔。
问题是,浏览器是否安全只有浏览器自己知道。国内浏览器尽管使用了开源内核,但并未将整个浏览器向 Chrome 一样开源。其能做什么、能获取哪些数据、收集了哪些数据,对用户来说,是黑匣子。
再往上一层互联网服务如搜索引擎也在提供安全服务。百度有类似猎豹浏览器的赔付制度。使用百度搜索,遇到木马网站带来损失,可以向百度理赔。而对安全性要求高的如淘宝、支付宝、网银都有自己的安全防范手段。例如浏览器控件、软键盘等方式。
PC 上,我们不再仅仅需要电脑是安全的,更需要使用电脑上网时,使用的各项服务是安全的。
2、如何确保智能设备的安全
网秦已经证明,将 PC 的杀毒模式搬到移动互联网无法解决安全问题。
智能设备上,操作系统有一层权限管理体系,对应用的权限进行约束。但由于用户不够重视的问题,导致大量的 App 趁虚而入,超出职责范围,获得了本不需要的高权限例如通讯录、定位等。这些 App 可以将用户的隐私数据上传到云端。
在服务器端本身也有大量的数据。例如电商购物数据、云存储数据、邮件、通讯录等
因此,移动互联网的安全,更多是云端的安全。我们需要防备的是 App 们、服务提供商们对我们数据的滥用。盯住他们,就可以一定程度保障隐私安全。
3、安全软件如何确保隐私安全?
杀毒软件帮我们监控电脑、监控浏览器、监控网银的时候,谁来监控他们?
这是 360 与每日经济新闻的争端的深层次原因。杀毒软件如何自证清白,向世人证明自己没有跨过边界获取不该获得的信息?没有收集甚至泄露用户的隐私信息?
PC 上安全客户端仍然有存在的必要。病毒已很久没有大规模爆发,但裸奔还是少数人的冒险。千万分之一的风险也值得防范。目前 PC 客户端的杀毒软件除了 360,另外一个玩家是老牌杀毒软件金山。最近搜索巨头百度推出杀毒软件,高调加入了杀毒软件阵营。
百度杀毒软件进入的是一个红海市场。为了差异化,其抓住其他杀毒软件被广为诟病的隐私安全等问题,宣传自己是“绿色杀毒、安静保护”,即不窥私、不骚扰、不胁迫。说白了,百度想告诉世人不需要的数据我不拿,不搞弹窗,也不威胁恐吓小白用户推自家客户端。因为百度推杀毒软件并不是为了赚钱也不是为了推广业务,纯粹是一种防御手段。
问题是,每个杀毒软件都可以宣称自己的绿色安静的。不骚扰和不胁迫是否做到,世人还有眼睛可以监控,但不窥私就很难监控了。有效的证明方式是:开源。向世人开放自己的源代码,做的事情一目了然。
矛盾在于,杀毒软件与病毒、木马之间本身就是一场猫鼠游戏。如果将自己开放,在病毒、木马制造者面前则充分暴露了自己,让其可以预防杀毒软件甚至针对性地自我升级,后果可能更严重。国内外杀毒软件大多封闭。金山卫士早在 2010 年便开展了开源计划,开放程度和效果不得而知。但这种态度是值得鼓励的。
折中的方式是选择性地小范围开放。纳入行业第三方监管、或者政府相关部门的监管。杀毒软件的原理、代码对监管者是透明的。我们信任这些监管者,由这些监管者帮用户确认杀毒软件没有越权。这是最可行,也是急缺的。
终极安全是人的安全。小白用户用任何安全软件也可能被骗,专业用户“裸奔”被骗的几率也小之又小。云端的隐私安全,则需要“人治”,再强大的技术也无法去约束云端数据掌握者的行为,通过监管体系才能确保隐私安全。安全任重而道远,最终的状态或许是由工具、技术、监管甚至法律法规形成一套综合的安全体系,为我们的数字生活保驾护航。