360与《每经》争端鸣响移动互联网时代安全警钟

罗超为雷锋网、TECH2IPO撰稿。2013年7月8日发表。

日前 360 又被《每日经济新闻》的报道推到风口浪尖。自 2 月 26 日开始《每日经济新闻》连发多篇报道指责 360“安全问题”。7 月 4 日发文称"360 在用户隐私信息获取方面,已经突破了道德和法律的底线”。本次报道披露的期货证券信息泄露的问题,涉及到互联网金融安全,在业界反响巨大。在 2 月份《每经》首次对 360 进行长篇报道后,360 旋即逐条反驳并起诉对方。这次 360 声称将追加对《每经》的起诉。

据网友爆料,《每经》及其隶属的《成都商报》已经被国内某互联网巨头老板投资。因此其报道被质疑为互联网公司商战中的舆论攻防战役。撇开公司之间的恩恩怨怨,冷静思考,移动互联网时代我们究竟需要什么样的安全?谁来给我们安全感?

一、免费颠覆传统杀毒软件

周鸿祎凭着其倡导的“破坏式颠覆”的微创新哲学,从安全助手入手,先是与卡巴斯基等老牌杀毒软件合作,进而继续推出自有杀毒软件,并且永久免费。凭“免费”这一杀手锏颠覆了传统的杀毒产业。卡巴斯基、瑞星、金山毒霸、江民等杀毒软件在市场上一泻千里,摇摇欲坠。

四处寻求破解版杀毒软件、跪求杀毒软件泄露秘钥等行为已经是怀旧的过去式。那时候包年杀毒套餐超过 100 元,仍然有大量用户趋之如骛。彼时互联网病毒和木马泛滥,熊猫烧香作者李俊还没“进去”,360 安全助手之父、金山网络 CEO 傅盛也还臣服于周鸿祎麾下。

360 凭着其“免费+增值”的核心模式,快速攻城略地,成长为中国第二大桌面客户端,最终成功登陆纳斯达克。基于免费杀毒软件,360 建立了一个流量王国。利用客户端导入的流量,与浏览器协同,将流量贡献给网址导航和游戏。形成一套稳健的商业模式。这个模式的核心是流量。因此 360 客户端需要不断弹出通知窗口,引导用户点击进而获取用户流量,并在后端变现。

随之而来的干扰。用户需要面对各种弹窗。与安全卫士没任何关系的新闻、游戏、娱乐、资讯都殷勤地弹来弹去,让人腻烦。除了 360,迅雷等其他客户端均深谙弹窗大杀器的魄力。如同鸦片一样,客户端们明知道弹窗会伤害用户体验,但仍然乐此不疲。除了弹广告,据报道 360 也曾有过利用更新补丁的通道推广自家产品的行为。

我们享受了免费的福利,为此付出一定的时间成本、视觉污染成本,也是合情合理。但隐私问题却是每个用户最忌惮的底线。

二、隐私安全取代病毒成为最大的安全问题

移动互联网时代,互联网更加生活化。PC 正在变为众多计算设备的一种,而且不是最重要的。PC 将来可能只是用来完成一些大型的工程类任务的工具。例如绘图、编程、编辑、制表等。病毒和木马发源于 PC,在 PC 上具有更大的破坏力。但移动互联网并不是病毒和木马的乐土。

在传统 PC 互联网上,自从熊猫烧香病毒的大规模爆发之后,伴随着李俊“进去”,大规模破坏性病毒也销声匿迹。这既有 360 等安全软件的病毒查、杀、防技术的功劳,也有 WINDOWS 正在变得争气有关系。XP 时代病毒层出不穷核心原因还是 WINDOWS 系统的千窍百孔的漏洞。WIN7 开始漏洞减少,因此越来越安全。

这都让大规模病毒更难出现。

病毒的特征是具备自我复制扩散能力的恶意程序。其目的更多是破坏性,潜伏时起到控制电脑成为“肉鸡”,爆发时直接影响电脑正常工作。病毒本身是一套简单且粗暴的运作模式。在魔高一尺道高一丈的大环境下,病毒制造者们纷纷转战其他更有掘金机会的“黑客市场”。熊猫烧香李俊出来后,没有选择继续做病毒事业,日前因涉嫌网络赌博被警方控制。

PC 上的杀毒软件没了存在感。于是,电脑辅助管理、开机时间排名等功能成为杀毒软件的标配。智能手机上并未出现 PC 端类似的大规模病毒。背后的原因源自以下几个方面:

首先,有 PC 操作系统的教训在,智能手机操作系统设计时对安全性进行了更充分的考虑。例如 Root 权限、安装强制确认、一键还原等方面的设置。

其次,两大智能手机操作系统,安卓为开源系统,具有更好的自我修复能力和漏洞发现能力,因为人人可以帮助其发现漏洞;而 iOS 则依靠 AppSotre 的人工审核机制防止病毒。

再次,智能手机操作系统先进的自我升级机制,也优于 PC 操作系统。这让依赖系统漏洞的病毒机会又少了一些。

最后,智能手机所处的网络环境,限制了病毒程度的快速传播。

从市场已有产品来看,主打手机杀毒的网秦虽然成功上市,但其装机量、收入等指标却不乐观。传统的杀毒软件例如 360 和金山,前者主要是做手机辅助管理,其次才是安全。金山则主推电池医生,管电池甚至比管病毒还重要。

但是,移动互联网的安全诉求却比 PC 更加重要。PC 病毒影响的是工作是娱乐,造成的是经济损失。而移动互联网的安全问题将影响我们的真实生活。

移动互联网与人们的生活更加紧密的联系,智能设备具备的通信、摄像头、录音、定位等物理条件,存储的通讯录、照片、通讯记录等数据,承载的个人身份识别如短信验证码、微信的任务,导致手机的安全隐忧也从防病毒防木马变为防隐私泄露。人们丢失手机的痛苦,可能更多是来自号码的丢失,数据的丢失,隐私的泄露。

PC 在移动互联网时代承载的使命也在发生着巨变。电子商务、网银等功能,使得 PC 上的安全诉求从防病毒变为隐私安全。移动互联网时代,我们需要的不是杀毒,而是安全地生产、流通和消费信息。我们不只是需要设备安全,更需要信息的安全,即隐私安全。

三、我们需要什么样的安全服务?

既然隐私安全成为最核心的安全隐忧,那么新时代的安全软件的功能也将从查毒杀毒防毒变为隐私保护。我们需要的不只是一款软件,而是一套确保隐私安全的机制,或者体系。安全软件只是其中的一个组件。

1、如何确保互联网服务的安全

浏览器安全正在成为基础安全要求。

PC 端的发展趋势是越来越多的任务需要通过浏览器完成。不论是上网冲浪还是购物,都需要使用浏览器。开着电脑的同时往往会开着浏览器。而云计算、云应用的成熟也使得更多的数据、应用从本地硬盘向云端转移。在 PC 上这个转移的通道便是浏览器。这使得浏览器的安全与操作系统层面的安全同等重要。

这也是为什么主流浏览器都在主打安全概念的原因。360 安全浏览器、猎豹浏览器都在强调自己的安全。猎豹浏览器甚至还推出了赔付服务。使用猎豹时,出现因安全问题导致的损失可以申请理赔。

问题是,浏览器是否安全只有浏览器自己知道。国内浏览器尽管使用了开源内核,但并未将整个浏览器向 Chrome 一样开源。其能做什么、能获取哪些数据、收集了哪些数据,对用户来说,是黑匣子。

再往上一层互联网服务如搜索引擎也在提供安全服务。百度有类似猎豹浏览器的赔付制度。使用百度搜索,遇到木马网站带来损失,可以向百度理赔。而对安全性要求高的如淘宝、支付宝、网银都有自己的安全防范手段。例如浏览器控件、软键盘等方式。

PC 上,我们不再仅仅需要电脑是安全的,更需要使用电脑上网时,使用的各项服务是安全的。

2、如何确保智能设备的安全

网秦已经证明,将 PC 的杀毒模式搬到移动互联网无法解决安全问题。

智能设备上,操作系统有一层权限管理体系,对应用的权限进行约束。但由于用户不够重视的问题,导致大量的 App 趁虚而入,超出职责范围,获得了本不需要的高权限例如通讯录、定位等。这些 App 可以将用户的隐私数据上传到云端。

在服务器端本身也有大量的数据。例如电商购物数据、云存储数据、邮件、通讯录等

因此,移动互联网的安全,更多是云端的安全。我们需要防备的是 App 们、服务提供商们对我们数据的滥用。盯住他们,就可以一定程度保障隐私安全。

3、安全软件如何确保隐私安全?

杀毒软件帮我们监控电脑、监控浏览器、监控网银的时候,谁来监控他们?

这是 360 与每日经济新闻的争端的深层次原因。杀毒软件如何自证清白,向世人证明自己没有跨过边界获取不该获得的信息?没有收集甚至泄露用户的隐私信息?

PC 上安全客户端仍然有存在的必要。病毒已很久没有大规模爆发,但裸奔还是少数人的冒险。千万分之一的风险也值得防范。目前 PC 客户端的杀毒软件除了 360,另外一个玩家是老牌杀毒软件金山。最近搜索巨头百度推出杀毒软件,高调加入了杀毒软件阵营。

百度杀毒软件进入的是一个红海市场。为了差异化,其抓住其他杀毒软件被广为诟病的隐私安全等问题,宣传自己是“绿色杀毒、安静保护”,即不窥私、不骚扰、不胁迫。说白了,百度想告诉世人不需要的数据我不拿,不搞弹窗,也不威胁恐吓小白用户推自家客户端。因为百度推杀毒软件并不是为了赚钱也不是为了推广业务,纯粹是一种防御手段。

问题是,每个杀毒软件都可以宣称自己的绿色安静的。不骚扰和不胁迫是否做到,世人还有眼睛可以监控,但不窥私就很难监控了。有效的证明方式是:开源。向世人开放自己的源代码,做的事情一目了然。

矛盾在于,杀毒软件与病毒、木马之间本身就是一场猫鼠游戏。如果将自己开放,在病毒、木马制造者面前则充分暴露了自己,让其可以预防杀毒软件甚至针对性地自我升级,后果可能更严重。国内外杀毒软件大多封闭。金山卫士早在 2010 年便开展了开源计划,开放程度和效果不得而知。但这种态度是值得鼓励的。

折中的方式是选择性地小范围开放。纳入行业第三方监管、或者政府相关部门的监管。杀毒软件的原理、代码对监管者是透明的。我们信任这些监管者,由这些监管者帮用户确认杀毒软件没有越权。这是最可行,也是急缺的。

终极安全是人的安全。小白用户用任何安全软件也可能被骗,专业用户“裸奔”被骗的几率也小之又小。云端的隐私安全,则需要“人治”,再强大的技术也无法去约束云端数据掌握者的行为,通过监管体系才能确保隐私安全。安全任重而道远,最终的状态或许是由工具、技术、监管甚至法律法规形成一套综合的安全体系,为我们的数字生活保驾护航。

原文发布于微信公众号 - 罗超频道(luochaotmt)

原文发表时间:2013-07-09

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏数据猿

【盘点】2016年十大数据泄露事件:社交网络成泄露重灾区

数据猿导读 近年来,随着互联网、大数据的爆发,数据安全已经成为时下人们最为关注的问题。数据猿小编对今年全球范围内所发生的数据泄露事件进行了梳理,并从中选出十个经...

304100
来自专栏CIT极客

【极客周刊】互联网+来袭?电竞成比赛项目?更多前沿内容进来看!

394110
来自专栏数据猿

欧盟 “最严”数据保护新规正式生效,能拯救处于“裸奔”状态的网民吗?

10620
来自专栏小文博客

全网IPV6还要多久?—— 国务院:不远了。

27120
来自专栏新智元

“微信身份证”AI显神威,人脸识别误判率百万分之一

来源:法制网、腾讯科技、财经内参 编辑:张乾 【新智元导读】昨天,微信发大招,在广东试点“微信身份证”,普通居民刷脸即可开通,微信身份证可用于住酒店、坐高铁等场...

65990
来自专栏罗超频道

或将入怀阿里的豌豆荚,如何错失应用分发黄金时代?

今天,互联网爆料平台“开八”爆料,阿里巴巴已正式收购豌豆荚,收购价格未知,确切消息将在今日公布,而豌豆荚创始人王俊煜对此的回应是“我并未听说”。在笔者看来,豌豆...

29690
来自专栏安恒信息

GeekPwn 2017上海站:主持人黄健翔发短信变身“马路杀手”

2017年10月24日,GeekPwn2017国际安全极客大赛在上海举办。本次比赛以“解构行动”为主题,来自全球的顶级黑客用“无所不Pwn”的脑洞,为全球安全技...

30760
来自专栏企鹅号快讯

顶象全场景IoT安全解决方案亮相 “首届物联网安全沙龙”

12月22日,第一届“物联网安全沙龙”在杭州召开。来自浙江省物联网协会、中国移动、顶象技术、莹石网络、鸿泉数字等机构和企业的专家、学者等近百人就物联网安全现状及...

29890
来自专栏企鹅号快讯

顶象全场景IoT安全方案解决物联网两大难题

12月22日,第一届“物联网安全沙龙”在杭州召开。来自浙江省物联网协会、中国移动、顶象技术、莹石网络、鸿泉数字等机构和企业的专家、学者等近百人就物联网安全现状及...

24690
来自专栏安恒信息

IPv6规模部署提上日程,与网络安全从业者息息相关

基于互联网协议IPv4的全球互联网面临网络地址消耗殆尽、服务质量难以保证等制约性问题,IPv6能够提供充足的网络地址和广阔的创新空间,是全球公认的下一代互联网商...

42660

扫码关注云+社区

领取腾讯云代金券