腾讯科技2016腾讯科技 > 360劫持QQ用户 > 正文

行业专家深度解读360如何绑架用户电脑

2010年11月08日16:28第一财经周刊我要评论(0)
字号:T|T

11月8日消息,近日,行业专家曲辉(化名)和余凡(化名)在接受媒体采访时,深度解读了360是如何绑架用户电脑的。

曲辉:计算机软件与理论博士,现就职于美国硅谷某安全公司;余凡:安全行业资深人士,现就职于某网游公司反外挂部门

以下为对话全文:

行为的边界

C=CBNweekly

Q=曲辉

Y=余凡

隐私有没有被侵犯?

C: 360称,其隐私保护器监测到QQ在扫描用户电脑文件。那么这到底算不算侵犯隐私?

Q: 如果只是因为扫描了文件,这相当于有一个名人,很多人要攻击他,他请保镖看看门口的人像不像坏人。这个隐私非隐私之间的界限很模糊,我个人倾向于认为这不是侵犯隐私。其它很多软件也会这样做,比如MSN,要传一些常用类型的文件就要病毒扫描,但普通人会觉得这个可以理解。

实际上,从技术角度讲,如果仅仅是扫描了文件或者查看启动项,就和隐私没有关系。隐私一般是指文件内容,在美国最重要的是社会安全号和信用卡号,或者其他能够表明你唯一身份的内容。

一般来讲,一款普通的软件不会因为扫描了一个Word文档,就可以知道文档的内容,技术可能达不到,也没必要达到。扫描病毒和扫描内容是两种路线,一种是对已知的匹配,一种一般是解析格式,然后设定一些规则或词汇,比如法轮功,发现三个字,就把上下文取出来,或者发现xxx-xx-xxxx格式的字符串,就认为是社会安全号,就取出来。

Y: 侵犯隐私的可能性还是有的,就像有些人怀疑微软收集用户信息一样,都只是怀疑。但是建立在怀疑和可能的情况下就穷追猛打,这样有误导用户的嫌疑。

C: 收集用户的行为习惯算不算侵犯隐私?

Q: 用户习惯可以成为隐私,因为这也是区别用户与用户之间的不同的一个因素。很多软件公司收集用户行为习惯是为了改进用户体验,但是要做到不被攻击侵犯隐私,这个平衡点很难找。

当然,扫描文件不一定意味着就收集到了用户习惯,要看之后是否对文件进行了分析。一般来说,历史记录对下次扫描病毒没有多大的作用,如果有软件公司想这么做,从技术上不难实现。只有能够证明一款软件收集到用户记录并且利用了这些记录,而且是在用户不知情的情况下做的,才可能指责其侵犯用户隐私。

C: 360称,微软Process Monitor等监测工具同样监测到QQ有异常的操作。那么,这种工具能否发现一款软件是否存在侵权行为?

Q: 微软Process Monitor是一款监控进程行为的工具,让有经验的用户看看进程是否正常,有没有挂起、锁死、互相之间的继承关系之类,但它的监控还没有细致到能够侦测到软件在侵犯客户隐私。

Y: 严格地说,不能。检测结果只能证明此软件有相应的行为,比如它对这个文件注册表操作了,但并不能说明它做了哪些更具体的动作,比如这个软件可以说明QQ访问过用户的网银快捷方式,但是不能说明访问此快捷方式的理由。

C: 即时通讯软件上传用户信息是否正当?

Q: 有些信息是可以上传的,比如昵称,在不同的电脑上显示是一样的。这个信息必须设置且上传到服务器,否则换台电脑昵称就不一样?了。

Y: 值得担心,用户很关心自己上传的信息是否是加密的,毕竟QQ的很多服务中都会多少包含一些个人信息,很多零碎的个人信息组合起来大概就可以描述一个现实存在的人了,那么这个人就有必要担心在腾讯服务器上保存的聊天记录了。

电脑有没有被非法扫描?

C: QQ的安全模块强制扫描用户电脑的行为是不是正当?

Y: 这个应该算是软件的安全策略问题,和隐私无关。比如 360首次安装完成后会有一个扫描打分的功能,这个可以停止,安装完成后会默认开启所有安全防护,但它都可以选择关闭。这个就是它的策略,即默认最大限度地保护用户安全,但是允许用户自由选择开关。当然如果选择了关闭,电脑体检分数可能会很低,从而诱导你开启全部功能。

QQ的安全策略是,默认用户乐意接受自己的安全扫描功能,并且认为这样可以最大限度保护用户的账户安全,而且认为关闭了这个功能以后用户的账户安全难以保护,所以没有提供相关的接口关闭。只能说这个软件设计不够人性化,有一部分用户无法接受。无论是出于市场考虑还是用户安全都应该改进,让用户可以选择。

C: QQ扫描用户电脑内安装的其它软件是否正当?

Y: 这只能表明它访问了哪些软件,至于访问文件的理由双方各执一词。但是单凭360的截图只能证明QQ确实访问了列表中出现的软件,但是为何访问也只是猜测。但是在得到QQ扫描结果之后就冠以“超级黑名单”确实有误导用户的嫌疑。

C: 360方面称,软件在电脑生态系统内应该按照功能各司其职,行为要有边界。行业内是否认同这种说法?

Q: 对此业内没有明确的定义。比如如果一款软件聊天的部分就聊天,安全的部分来管安全,只要在用户说明里告诉了用户,而且用户没有表示不同意安装,那就是合规的。

Y: 个人觉得软件没有越界的说法,只要用户可以接受这款软件就可以了,但是利益上就可能会有越界。可能正是由于腾讯以往有进入其它领域的行为,导致了这次进入安全领域出现了比较大的反应。

C: 业内有人怀疑,360指责QQ通过“超级黑名单”对用户软件进行扫描,可能引发抄袭行为。那么,通过这种扫描,能够对软件进行抄袭?吗?

Q: 扫描软件的行为肯定不合理,但是精准抄袭不是扫描就能做到的。抄袭的重点应该是在用户体验、用户爱好的收集,还有界面、后台数据库支持、管理、更新等等。当然扫描一下可以知道有多少用户在用,从而了解市场,看值不值得进入。

[责任编辑:studyhu]
登录 (请登录发言,并遵守相关规定) 分享至: 腾讯微博
如果你对科技频道有任何意见或建议,请到交流平台反馈。到微博反馈

企业服务

热点推荐

推广信息