中国科学院の報告書: 360 製品には 3 つの大きなプライバシーとセキュリティの問題がある

360 ブラウザがユーザーのプライバシーを侵害しているという話題が再び注目を集めています。 11月23日の上海青年報の報道によると、中国科学院情報工学研究所が主催する「プライバシー保護」に関する学術セミナーが北京で開催された。会議では、中国科学院機密技術攻撃・防御重点実験室が執筆した「個人情報漏洩リスクに関する技術研究報告」と題する報告書により、これまでセキュリティの高さで知られてきた360ブラウザが、実はそのアーキテクチャ設計と動作原理に3つの大きなプライバシーとセキュリティの問題を抱えており、ユーザーの安全に深刻な脅威を与えることが明らかになった。

「これはユーザーの安全に深刻な脅威となるだろう」と上海青年報は会議に出席した専門家の発言を引用した。

以前、工業情報化部は360のセキュリティ問題に関する調査を開始すると公表していたが、権威ある機関はまだ納得のいく調査結果を出していない。情報研究の専門機関として、中国科学院が発行する報告書は、この問題の解決を促進するための重要な基礎となる可能性がある。

上海青年報はまた、会議から、中国科学院がブラウザ、インスタントメッセージ、電子商取引、コミュニティウェブサイトなど複数のカテゴリーを含む、一般的に使用されているインターネット製品とサービスのプライバシー保護の問題について包括的な研究を実施していることを知った。記者が入手した原文によると、ブラウザのプライバシー保護に関する研究の章で、中国科学院情報工学研究所の研究者らが360 Safe Browserの詳細な研究と分析を行い、ユーザーが開いた閲覧ページのアドレスを収集すること、ユーザーがブラウザのアドレスバーに入力した情報を収集すること、バックグラウンドポートを予約すること、ユーザーの知らないうちにクラウド指示を使用すること、および「インストールライセンス契約」で指定された内容を超えてバックグラウンドで機能を実行することなど、360 Safe Browserの3つの主要なセキュリティ問題をまとめた。

調査中、研究者は専門的な技術的手段を使用して、ソフトウェアの動作プロセスと環境全体を包括的にテストし、360 にセキュリティ上の問題があることを確認し、実験室で複数回再現しました。報告書の中で研究者らは、ユーザーが360セーフブラウザのアドレスバーに完全なURLを入力すると、360ブラウザは入力が完了するまでユーザーの入力データを1つ1つ順番に360社の特定サーバーに送信するという例を挙げた。送信される情報にはユーザーの固有性を判断できるIDが含まれており、特定ユーザーのアドレスバー入力や閲覧履歴が簡単に追跡され、漏洩する可能性がある。別の分析では、「これらのコンポーネントは、360 Security Browser の特定の未指定の機能を有効にするために不正な方法でコンピューターにダウンロードされる可能性があり、ユーザーのコンピューターへの悪意のある侵入を引き起こす可能性もある」ことが示されています。

実際、過去数か月間、360 Security Software はセキュリティとプライバシーの漏洩の渦に巻き込まれ、ネットユーザー、メディア、オピニオンリーダー、管轄当局から疑問視されてきました。著名な偽造防止専門家であるFang Zhouzi氏は、セキュリティ問題について360ソフトウェアに繰り返し疑問を呈し、360がユーザーのプライバシーを盗み、システムパッチを偽装し、インストールされたソフトウェアをバンドルし、「クラウド制御」を通じてユーザーのコンピューターを遠隔操作していると非難した。 360 はこれらの質問や疑問に直接答えず、単に「競合他社による迫害」としているが、実際の事例が後を絶たないため、依然として多くのユーザーが注目し、360 をアンインストールしている。フォーチュン 500 企業の中には、360 の全製品ラインを禁止するという社内通知を出したところもある。 CNZZが発表した最新データによると、Fang Zhouziが偽造360の取り締まりを開始して以来、360ブラウザの市場シェアは1.6％低下し、控えめに見積もっても1,000万人のユーザーが失われたという。

センセーショナルな「360プライバシー漏洩」事件を受けて、10月25日、工業情報化部の報道官で通信発展部部長の張鋒氏は、工業情報化部が介入し、奇虎360ブラウザがユーザーのプライバシーを盗んだという方周子氏の告発を調査すると述べた。「違法で不法な行為が実際にあることが証明されれば、法律に基づいて厳重に対処する」 360は直ちに、製品を国家品質監督検査検疫総局と工業情報化部に積極的に送付し、検査を行うと発表した。

360 の積極的な「検査提出」に関して、インターネット抑止・防衛 (IDF) 研究所の創設者でセキュリティ専門家の Wan Tao 氏は、その効果はほとんどないと考えている。ワン・タオ氏は、360 はクラウド制御技術を採用しており、デスクトップ ソフトウェアだけでは問題を検出するのが難しいと指摘しました。プロセスと環境全体をテストして評価することによってのみ、問題をより適切に説明できます。

中国人民大学の石文昌教授はかつて、セキュリティソフトウェアがソフトウェアセキュリティメカニズム設計の重要な原則の1つである最小権限の原則（POLP）に準拠せず、代わりに特別な権限を使用して機能の実装に必要のない操作を実行する場合、システム権限の乱用がユーザーシステムの情報セキュリティに影響を与えると述べました。

会議に出席した関連専門家は、「中国科学院の研究報告や、360ソフトウェアの安全性に関する各界からのこれまでの疑念を踏まえると、360社が安全性を名目に、ユーザーのプライバシーを盗み、漏洩するという実際の目的のために行った一連の行為は、工業情報化部が2011年命令第20号で公布し、2012年3月15日に施行された『インターネット情報サービス市場秩序の規制に関する若干の規定』の該当規定に深刻に違反している」と述べた。

「個人情報漏洩リスクに関する技術研究報告書」は「V1.0」とマークされており、2012年11月に「中国科学院情報工学研究所機密技術攻撃防御重点研究室」によって発行されました。

以下は、「個人情報漏洩リスクに関する技術調査レポート V1.0」の一部です。

序文

国内外で個人情報漏洩事件が頻発し、個人情報保護の重要性が強調される中、コンピュータソフトウェア、モバイル端末、ハイテク技術が日常の仕事や生活にもたらす個人情報のプライバシー問題に、人々はますます注目するようになっています。中国科学院情報工学研究所機密技術攻撃防御重点研究室は、現在一般的に使用されているソフトウェアと端末製品のユーザーのプライバシー保護について予備調査を実施し、実験研究を通じてプライバシー保護に関するいくつかのリスクを発見しました。本稿では、主に、日常的に使用されるソフトウェア、ネットワークサービス、モバイル端末、音響・光学・電磁気学の4つの側面から、研究室の研究成果と知見を紹介します。この記事の内容は、ケーススタディとデータの再現に焦点を当てており、個人のプライバシーに関連する問題に関係部門の注意を引くことを目的としています。

この記事は北京大学北京インターネットセキュリティ技術重点研究室の支援を受けて作成されました。

1 共通端末ソフトウェアとユーザーのプライバシー保護

1.1 ウェブブラウザ

多くのウェブブラウザは、ユーザーエクスペリエンスの向上、パーソナライズされたサービスの提供、ターゲット広告ビジネスの展開などを目的として、通常、ユーザーのウェブ閲覧履歴やその他の個人情報をバックグラウンドで収集し、サーバーにアップロードします。しかし、ユーザーの個人情報の収集行為の多くは、ユーザーの知らないうちに行われ、あるいは収集される情報はソフトウェアの「インストール使用許諾契約」に明確に規定されている範囲を超えています。

ラボでは、最新バージョンの 360 Security Browser 5.0 を例に、ブラウザのユーザー プライバシー漏洩問題を分析および調査しました。Web ブラウザにおけるプライバシー漏洩の脅威は、次の側面に存在します。

1) 予約済みのバックドアと埋め込みコード: 一部のブラウザは、ユーザーが知らないうちに、インストールライセンス契約の範囲を超える機能をバックグラウンドで実行します。 動作中、360 Safe Browser は約 5 分ごとにサーバーと通信し、ファイルをダウンロードします。 下図に示すように、ダウンロードされたファイルは se.360.cn/cloud/cset18.ini ですが、データフローから、このファイルは実際には PE ファイルであり、ファイル ヘッダーで識別される製品名は DataDll であることがわかります。

図1-1

ファイルはデータ ストリームから抽出され、dll ファイルを取得します。ファイルのプロパティがチェックされ、ファイルの説明が「360 Security Browser Secure Online Banking」として取得されます。

図1-2

ファイルから Base64 でエンコードされたテキスト メッセージが抽出されます。

W3N0XQ0KY291bnQ9Mg0KW3N0MV0NCmlkPTENCnVybD1odHRwOi8vd3d3LmJhaWR1LmNvbS9zZ

WFyY2gvcmVzc2FmZS5odG1sKg0KW3N0Ml0NCmlkPTINCnVybD1odHRwOi8vdmVyaWZ5LmJhaWR1

翻訳:

Wh0dHA6Ly93d3cuYmFpZHUuY29tL3NlYXJjaC9yZXNzYWZlLmh0bWwqDQpbbWFpbl0NCmhrcmVzMj0

xDQpjYmM9MQ0KW2NiY10NCnVybGNvdW50PTENCnVybDE9aHR0cDovL3d3dy5iYWlkdS5jb20vc2Vhc

mNoL3Jlc3NhZmUuaHRtbCNCmNiY2NvdW50PTINCmMxPUJBSURVSUQNCmMyPUJEVVNT

デコードされたコンテンツは次のとおりです。

[st]

カウント=2

[st1]

id=1

url=http://www.baidu.com/search/ressafe.html*

[st2]

id=2

url=http://verify.baidu.com/vcode?*

[トレイメッセージ]

静的SID=31

カウント = 1

url1=http://www.baidu.com/search/ressafe.html*

[主要]

1 行目

1 ...

[cbc]

urlcount=1

url1=http://www.baidu.com/search/ressafe.html*

cbcアカウント=2

c1=バイドゥID

c2=BDUSS

このことから、この DLL ファイルの機能はオンライン バンキングとは何の関係もなく、検索エンジン Baidu に関連していると考えられます。これはおそらく、Referer フィールドのチェックを回避するためです。この動作はユーザーのプライバシーには関係ありませんが、欺瞞的です。

さらに、360 Safe Browser は、ユーザーの知らないうちに、サーバーから「ExtSmartWiz.dll」という名前のダイナミック リンク ライブラリを定期的にダウンロードして実行します。ダイナミック リンク ライブラリに悪意のある機能が埋め込まれていたり、犯罪者がドメイン名のハイジャックなどの方法を使用して、ブラウザーによってダウンロードされた「ExtSmartWiz.dll」ファイルを悪意を持って改ざんしたりすると、ユーザーのセキュリティに重大な脅威が生じます。

2) ユーザーの閲覧履歴の収集: 多くのブラウザは、ユーザーが開いたページのアドレスをサーバーにアップロードして、ユーザーの個人的な好みを分析したり、Web サイトの人気度をカウントしたりして、ブラウザのホームページでユーザーにパーソナライズされたコンテンツをより適切に推奨します。この行為はユーザーのプライバシーデータも侵害します。次の図は、ユーザーが 360 Security Browser 5.0 を使用して Web ページにアクセスすると、各 Web ページが開かれた後に、暗号化された URL 情報を含む POST 要求が特定の 360 サーバーに送信されることを示しています。

図1-3

3) ブラウザのアドレスバーに入力された情報の収集: ユーザーがブラウザのアドレスバーに URL を入力すると、多くのブラウザはユーザーが URL を自動的に補完できるように、ユーザーが入力したコンテンツをサーバーにアップロードします。下図は、ユーザーが360 Security Browser 5.0のアドレスバーに「10.105.240.57」と入力すると、ブラウザがアドレスをsug.so.360.cnに送信し、送信時に添付されるCookieにユーザー固有のマークが付いたguid値が含まれるため、特定ユーザーのアドレスバー入力や閲覧履歴が追跡され、漏洩する可能性があることを示しています。

図1-4

次の図は、ユーザーが 360 Safe Browser 5.0 のアドレス バーに「weibo.com」と入力すると、ブラウザーは入力された文字ごとに現在のブラウザー アドレス バーの内容を sug.so.360.cn に送信することを示しています (つまり、「w」、「we」、「wei」、「weib」、「weibo」、「weibo.」、「weibo.c」、「weibo.co」、「weibo.com」)。

図1-5

原題: 中国科学院の報告書: 360 製品には 3 つの大きなプライバシーとセキュリティの問題がある

キーワード: 中国科学院、科学院ジャーナル、360、製品、3大、プライバシー、セキュリティ、問題、ウェブマスター、ウェブサイト、ウェブサイトのプロモーション、収益化