360綠色網(wǎng)站的安全謊言:“偷梁換柱”浸潤電商網(wǎng)銀安全體系/
2月6日,360官網(wǎng)上一條 “網(wǎng)購首選,3億用戶的共同選擇”的廣告悄然上線。打開這條廣告鏈接,以“網(wǎng)購安全”為主題的新款“360安全瀏覽器”赫然在目。
據(jù)《每日經(jīng)濟新聞》記者獲得的360內(nèi)部信息,360將借今年的“3·15”活動,大力推動與國內(nèi)電商企業(yè)的合作,以將360安全瀏覽器植入電商領(lǐng)域。這則推廣廣告,正是這一步驟的前奏曲。
據(jù)記者調(diào)查,360兩年前開始布局電子商務安全領(lǐng)域,其最先打出的 “安全產(chǎn)品”是 “網(wǎng)銀無憂”、“地址欄銘牌”,即360瀏覽器主推的“綠色網(wǎng)站認證”。
360向人們傳遞的信息是,“360綠色網(wǎng)站認證”可以確保用戶使用網(wǎng)銀以及電子商務交易安全。
眾所周知,電子商務的交易安全,尤其是網(wǎng)銀,一直是網(wǎng)民、乃至整個社會焦點關(guān)注的問題之一。歐美、日本等國家的網(wǎng)銀安全體系非常復雜與發(fā)達,而國內(nèi)的網(wǎng)銀體系,也是在小心設想、小心求證的前提下,一步步地展開。
那么,360是否真的具備這個能力——取代網(wǎng)銀服務提供者身份驗證體系,由自身來充當網(wǎng)銀“保鏢”呢?
獨立調(diào)查員懷疑360公司是否具備這個能力。于是,他進行了如下實驗,以了解360綠色網(wǎng)站認證機制:
在本機模擬,將招行網(wǎng)銀域名劫持到IP為50.63.127.126(xliar.com)的網(wǎng)站,并在目標服務器上構(gòu)建相應目錄體系和登錄頁文件,然后使用360安全瀏覽器訪問招行大眾版登錄頁,從而進入偽裝的招行網(wǎng)銀頁面。
360網(wǎng)購保鏢自動檢測招行運行環(huán)境,幾秒鐘后完成檢測,報告“本次檢測未發(fā)現(xiàn)風險,現(xiàn)在可以放心網(wǎng)購了!”
此時瀏覽器地址欄銘牌顯示為“招商銀行”,點擊后彈出“通過綠色網(wǎng)站認證”,披著“招行網(wǎng)銀”外衣的劫持網(wǎng)址,即被360認證為招行官方網(wǎng)站。
而同樣的操作,使用IE瀏覽器訪問時,IE瀏覽器地址欄則會以非常顯眼的方式告知用戶“(網(wǎng)站數(shù)字)證書錯誤”,點擊錯誤信息可知,該網(wǎng)站證書不屬于招商銀行網(wǎng)站。
事實上,用國際主流的瀏覽器均會彈出類似的錯誤提醒警示,用戶收到信息后自然會停止交易、避免損失。
這意味著,如果一家詐騙網(wǎng)站通過域名劫持招商銀行網(wǎng)站,所謂的“360綠色網(wǎng)站認證”并不能有效執(zhí)行網(wǎng)銀保鏢的辨識功能,進行安全認證。
360安全瀏覽器的安全檢查能力為什么會如此之低呢?
據(jù) 《每日經(jīng)濟新聞》記者了解,目前國際主流的認證機構(gòu)為VeriSign,包括中國工商銀行、中國建設銀行、中國銀行、中國農(nóng)業(yè)銀行均采用該機構(gòu)認證。招商銀行網(wǎng)頁所顯示的,也正是該機構(gòu)的認證,這也作為網(wǎng)上銀行安全的基本保證而得到公認。
而獨立調(diào)查員演示的證據(jù)顯示,360瀏覽器直接屏蔽認證機構(gòu)VeriSign基于加密體系的可信認證,將其替換成了360綠色網(wǎng)站認證。
獨立調(diào)查員提醒網(wǎng)購者,應信任銀行網(wǎng)站自身的安全證書,并在整個交易過程中關(guān)注地址欄域名和安全證書中的域名是否一致,以及其根域名是否與官方域名一致,切勿輕易信任和依賴360的“綠色網(wǎng)站認證”。
獨立調(diào)查員認為,這又是另一起360“破壞性創(chuàng)新”的典型案例:“一點技術(shù)含量也沒有的網(wǎng)站身份認證,竟然可以公然取代國際上通行的網(wǎng)上銀行安全認證體系。這就是360的非創(chuàng)新型破壞。”
然而,對于類似公然挑釁國際準則的行為,為什么監(jiān)管部門可以坐視不管呢?
可以預想的是,一旦360大規(guī)模啟動“各大電商推薦安全購物使用360瀏覽器”活動,人們的網(wǎng)上購物均要依賴于 “360綠色網(wǎng)站認證”,360收獲的將是又一次360式“癌性擴張”,而中國的網(wǎng)銀體系又將會面臨怎樣的可怕變局?
移動圈地:“非創(chuàng)新型”破壞或止步于蘋果?/
在360的2012年年會上,360董事長周鴻祎對員工指出:“我認為未來兩年將決定整個無線互聯(lián)網(wǎng)的市場格局……在過去的一年,360手機衛(wèi)士用戶量突破2億,360手機助手的用戶量也突破了1億,成為360在無線互聯(lián)網(wǎng)上的兩個支柱。但兩根柱子支撐不了一個房子,我希望各個團隊在2013年會有新的產(chǎn)品能夠脫穎而出,包括很多PC的產(chǎn)品也可以尋找在無線上的發(fā)展機會。很簡單,未來不會再有無線互聯(lián)網(wǎng)公司了,因為每個公司都必須是基于無線互聯(lián)網(wǎng)的;也不會有PC產(chǎn)品部、無線產(chǎn)品部的區(qū)分,因為以后所有產(chǎn)品都會在PC和移動終端上打通,而沒有無線互聯(lián)網(wǎng)策略和產(chǎn)品的公司將會被淘汰。”
這段講話基本上代表了360近期在移動端發(fā)展與布局的方向。
