商业篇：360：互联网的“一枝黄花”

 

    瞬雨认为，360很像中国互联网界的“一枝黄花”。360董事长周鸿祎一直强调“破坏性创新”，这正是“一枝黄花”的最好注解。

 

    对于360及周鸿祎，外界基本上分为两个阵营：爱之者为之欢呼，恨之者为之切齿。而欢呼者，正是出于对其破坏性快感的获得，以及对其破坏过程中所呈现的“流氓特性”的认可；而切齿者，则不仅因其对整个互联网社会的强大破坏力，更缘于其不断地突破底线，以及对人们价值观的不断挑战。

 

    “破坏是一件容易的事，而建设才是根本。创新不能总是以破坏为代价。”瞬雨向《每日经济新闻》记者表示，“酿制出一只青花瓷瓶，或许需要数月甚至数年的精到功夫与时间，但破坏它，一锤子砸它，只需要一秒钟。”

 

    瞬雨认为，360更大的危害，在于其还有许多人们所不能见的潜在威胁：360安全卫士、360浏览器的“癌性基因”。

 

    作为互联网安全厂商，最重要的特性，就是恪守“第三方安全”准则：不得随意代替用户作决定或处理；不得以安全的名义，为厂商自己牟利；不得在安全领域，既当运动员，又是裁判员。

 

    但360恰恰就在这些方面，完全违背了安全厂商的基本准则。当360安全卫士、360安全浏览器植入用户电脑的时候，360便通过它们在用户知情或不知情的情况下，直接代替用户做决定，完成各种动作。

 

    “这样的产品在市场上将是无敌的。”瞬雨举例说，“一场拳击赛，A方只可以以拳击打对方的有效部位，但B方却可以手脚并用，并可以攻击你的下三路，那A方必输无疑。”

 

    这是360致胜的法宝。

 

    而在掠夺市场的过程中，360安全卫士、360浏览器恰是一对并蒂的“恶之花”。

 

    商业篇之一·生意经

 

    360生意经：圈地运动与癌性扩张

 

    每经记者秦俑

 

 

 

    近日，百度要求凤巢（百度搜索 营销 管理 平台）用户安装安全插件，以检验浏览器的安全性。而360以用户名义，给予这个插件以“网友差评”标签，并通过其系统，认定该插件为“偷拍插件”。然后，在360安全卫士的“清理插件”功能下，直接诱导和恐吓用户卸载该插件。

 

    360凭什么将百度这个插件定义为“偷拍插件”？凭什么要用户卸载？事实上，全球其他所有浏览器均对上述插件无异议。

 

 

 

    独立调查员向《每日经济新闻》记者分析说，360软件（含互联网服务）产品，涵盖安全防护（安全卫士、手机卫士、杀毒等）、操作环境（浏览器、桌面、软件管家等）、工具软件（五花八门）、游戏平台、导航搜索和电商网站等，“如果把电脑系统比作软件产品的运动场，从安全角度看，安全防护产品是裁判员，其他产品则是运动员”。

 

    很显然，360兼具裁判员、运动员双重身份。

 

    做为裁判员，360能否公平对待同场竞争的运动员（竞争对手）和看台观众（用户），是人们判断其价值最关键、也是最重要的因素。

 

    “我们无法想象，微软会通过Windows产品不断提示用户IE才是安全的浏览器、借网民的名义指控Google搜索是钓鱼网银的帮凶、腾讯电脑管家是最差的安全防护产品；我们无法想象，微软通过Windows产品把用户安装的所有浏览器的默认首页都强行设定为自身的官方网站；我们无法想象，微软会通过Windows产品向全球电脑秘密下达卸载Chrome浏览器的指令；我们无法想象，微软Bing搜索引擎盗用Google搜索引擎的结果数据。”独立调查员说，“是的，善良的人们无法想象，更无法接受这一切，有社会责任感的企业公民对此都会嗤之以鼻——‘我们绝不这么干！’”

 

    独立调查员认为，360有两条“成功密钥”，第一，是以“民事诉讼8连败”为代表的发展模式:先踩法律底线，以求先发展——在中国，360钻了品牌与道德成本太低的空子；第二，就是以安全和免费名义“绑架”用户，然后以安全裁判员的身份，展开“竞争”。

 

    以“永久免费”为口号，360安全卫士及其关联产品很快占据较高市场份额。

 

    “电脑安全性评分”是360安全卫士最重要的基础性功能。360安全卫士会自动扫描客户端所在系统的“安全隐患”，不符合360“安全标准”要求的就扣分，但评分标准和权重并不公开。

 

    比如全新安装的Windows7，在开启自动更新、尚未安装任何第三方软件前，360安全卫士对其安全评估结果竟是0分（满分100分）。这个0分意味着什么？Windows真的很不安全？实际测试发现，根据其安全警示清单一项一项“优化或修复”后，评分逐步增加，但始终处于低位、不到60分，直到“优化浏览器”并“锁定首页”后，安全性评分迅速接近满分！事实上，所谓“优化浏览器”就是“安装360浏览器并设定为默认浏览器”，“锁定首页”就是“修改首页为360导航”。

 

    需要修复的项目还有（不限于）：卸载“差评插件”百度浏览器工具栏、优化IE（实为篡改IE的首页、标签页、默认搜索引擎为360的有关服务）、删除收藏夹中对手的项目（百度、腾讯、谷歌等）等等。

 

    360安全卫士甚至曾伪装成微软Windows补丁安装程序KB360018，以“IE6内核升级”的名义欺骗用户安装360浏览器。国外权威技术网站SystemExplorer已将360的这个假冒微软系统补丁文件定为“100%安全威胁”，从而使后者遭遇微软调查。

 

    尤其是360安全卫士在评分后的“一键修复”功能，更是其占领市场的利器。其借助傻瓜式的“一键修复”，导致用户在电脑上用什么、不用什么，都由360安全卫士说了算，至于是否都与安全性有关，一般用户自然看不出门道，相反还会对360的这些“强奸”行为“感恩戴德”——这些用户原本连安装或卸载软件的操作都不熟练，而360安全卫士就是一台“傻瓜相机”。

 

    事实上，360安全卫士不只是一台“傻瓜相机”，其云安全数据中心动态控制着一切，可以根据360自身需要更改其软件资料库、评分标准和权重，随时准备向对手发起“云查杀”以保护自身利益。

 

    独立调查员向《每日经济新闻》记者分析说，360的发展路径，即从360软件产品底层技术构架开始，埋下不同于所有互联网公司发展的“癌变基因”，然后，此“癌变基因”通过浸润，向操作环境领域发展，再向工具软件、游戏平台发展，最终进入真正的互联网领域——导航、搜索、电商网站，以及电商网银体系等。

 

    

 

 

 

    360绿色网站的安全谎言：“偷梁换柱”浸润电商网银安全体系/

 

    2月6日，360官网上一条“网购首选，3亿用户的共同选择”的广告悄然上线。打开这条广告链接，以“网购安全”为主题的新款“360安全浏览器”赫然在目。

 

    据《每日经济新闻》记者获得的360内部信息，360将借今年的“3·15”活动，大力推动与国内电商企业的合作，以将360安全浏览器植入电商领域。这则推广广告，正是这一步骤的前奏曲。

 

    据记者调查，360两年前开始布局电子商务安全领域，其最先打出的“安全产品”是“网银无忧”、“地点 栏铭牌”，即360浏览器主推的“绿色网站认证”。

 

    360向人们传递的信息是，“360绿色网站认证”可以确保用户使用网银以及电子商务交易安全。

 

    众所周知，电子商务的交易安全，尤其是网银，一直是网民、乃至整个社会焦点关注的问题之一。欧美、日本等国家的网银安全体系非常复杂与发达，而国内的网银体系，也是在小心设想、小心求证的前提下，一步步地展开。

 

    那么，360是否真的具备这个能力——取代网银服务提供者身份验证体系，由自身来充当网银“保镖”呢？

 

    独立调查员怀疑360公司是否具备这个能力。于是，他进行了如下实验，以了解360绿色网站认证机制：

 

    在本机模拟，将招行网银域名劫持到IP为50.63.127.126(xliar.com)的网站，并在目标服务器上构建相应目录体系和登录页文件，然后使用360安全浏览器访问招行大众版登录页，从而进入伪装的招行网银页面。

 

    360网购保镖自动检测招行运行环境，几秒钟后完成检测，报告“本次检测未发现风险，现在可以放心网购了！”

 

    此时浏览器地点 栏铭牌显示为“招商银行”，点击后弹出“通过绿色网站认证”，披着“招行网银”外衣的劫持网址，即被360认证为招行官方网站。

 

    而同样的操作，使用IE浏览器访问时，IE浏览器地点 栏则会以非常显眼的方式告知用户“（网站数字）证书错误”，点击错误信息可知，该网站证书不属于招商银行网站。

 

    事实上，用国际主流的浏览器均会弹出类似的错误提醒警示，用户收到信息后自然会停止交易、避免损失。

 

    这意味着，如果一家诈骗网站通过域名劫持招商银行网站，所谓的“360绿色网站认证”并不能有效执行网银保镖的辨识功能，进行安全认证。

 

    360安全浏览器的安全检查能力为什么会如此之低呢？

 

    据《每日经济新闻》记者了解，目前国际主流的认证机构为VeriSign，包括中国工商银行、中国建设银行、中国银行、中国农业银行均采用该机构认证。招商银行网页所显示的，也正是该机构的认证，这也作为网上银行安全的基本保证而得到公认。

 

    而独立调查员演示的证据显示，360浏览器直接屏蔽认证机构VeriSign基于加密体系的可信认证，将其替换成了360绿色网站认证。

 

    独立调查员提醒网购者，应信任银行网站自身的安全证书，并在整个交易过程中关注地点 栏域名和安全证书中的域名是否一致，以及其根域名是否与官方域名一致，切勿轻易信任和依赖360的“绿色网站认证”。

 

    独立调查员认为，这又是另一起360“破坏性创新”的典型案例：“一点技术含量也没有的网站身份认证，竟然可以公然取代国际上通行的网上银行安全认证体系。这就是360的非创新型破坏。”

 

    然而，对于类似公然挑衅国际准则的行为，为什么监管部门可以坐视不管呢？

 

    可以预想的是，一旦360大规模启动“各大电商推荐安全购物使用360浏览器”活动，人们的网上购物均要依赖于“360绿色网站认证”，360收获的将是又一次360式“癌性扩张”，而中国的网银体系又将会面临怎样的可怕变局？

 

    移动圈地：“非创新型”破坏或止步于苹果？/

 

    在360的2012年年会上，360董事长周鸿祎对员工指出：“我认为未来两年将决定整个无线互联网的市场格局……在过去的一年，360手机卫士用户量突破2亿，360手机助手的用户量也突破了1亿，成为360在无线互联网上的两个支柱。但两根柱子支撑不了一个房子，我希望各个团队在2013年会有新的产品能够脱颖而出，包括很多PC的产品也可以寻找在无线上的发展机会。很简单，未来不会再有无线互联网公司了，因为每个公司都必须是基于无线互联网的；也不会有PC产品部、无线产品部的区分，因为以后所有产品都会在PC和移动终端上打通，而没有无线互联网策略和产品的公司将会被淘汰。”

 

    这段讲话基本上代表了360近期在移动端发展与布局的方向。

 

    在移动端，360是否会重复使用“癌性扩张”的方式来圈地呢？

 

    《每日经济新闻》记者在调查中发现，无论是微博还是公开的 论坛 ，皆有不少用户曝光了360的一些“作恶”行为，大多包括以下内容：在智能手机通过USB接入电脑充电或同步数据时，360弹出手机助手的提示，不经意中安装360的其他产品，甚至装上360的产品之后，其他非360的应用会莫名其妙地“被卸载”。

 

    这也意味着，在移动端的圈地运动中，360依然在复制其PC领域的“癌式扩张”做法：除了做安全产品外，自身同时开发了全系列的手机软件，然后重新演绎一遍其在PC端的玩法。

 

    据《每日经济新闻》记者掌握的一份来自某互联网工程师的爆料，包括360手机卫士、360手机通讯录、360手机浏览器等系列产品存在明文上传用户隐私数据。上述爆料人提供的证据指出，在机场、咖啡厅，手机用户使用WiFi上网时，只要登录360手机卫士及360手机通讯录，或者进行云备份或云恢复，用户名（手机号）、手机IMEI码和密码等高度敏感信息就会通过请求网址明文传输，有了这些身份鉴别信息，可以使用任何浏览器从360通讯录服务器tongxunlu.360.cn的非安全通道直接下载用户云备份的通讯录等隐私。

 

    这也意味着第三方可以轻松窃取360用户登录各个网站的密码MD5信息和手机号，进而可以获取用户包括短信、彩信、通讯录、通讯记录等所有相关隐私数据，而且还可以篡改并进行钓鱼。

 

    对此，独立调查员进行了相应复检，发现含高度敏感信息的请求网址的参数部分，仅以BASE64编码（可简单解码，与明文无异），而用户密码虽然经过MD5加密、但是可直接用于登录，且对客户端合法性没有任何校验。独立调查员向《每日经济新闻》记者说，请求网址极易被非法拦截，在网址中明文夹带传输高度敏感信息，以及使用非安全通道下载用户隐私数据，等于把手机用户隐私暴露在阳光下。