1月10日,在360被爆出存在“任意密码修改漏洞”的一个多月后,乌云网公布了这一漏洞的细节。可以看到,这一漏洞之所以可以被用来修改任意用户的密码,其实质仍然是360在密码找回链接的URL结构设计上的重大缺陷:直接使用了可以与其旗下社交网站的用户名进行匹配的明文qid。一位IT业技术人员在接受采访时指出,本次360的密码修改漏洞,与2012年爆出的同类型漏洞在原理上如出一辙。据了解,一年多之前,360就曾经因为在密码找回链接中使用了不安全的MD5校验码,而被指出过同类漏洞。连续在同一个问题上犯下相同的错误,使得360在业界和用户心目中的形象被打上了一个大大的问号。
在乌云网所公布的漏洞操作细节中,用户可以清楚地看到发现漏洞的“白帽子”是如何轻易地“盗取”了用户的个人信息,甚至包含明星苗圃的私人信息,其中不仅包括账户密码,更包括通讯录、通话记录、短信记录等隐私信息。面对这样的结果,连测试者自己也连称“这个BUG玩大了”,而围观网友则大呼“又有人要当陈冠希了”。令人关注的是,如此简单易用的隐私泄露BUG,竟在360系统的“密码找回”这样的主干模块中潜伏了长达数月之久,考虑到360庞大的用户群,这一缺陷的潜在损害,思之不寒而栗。
令人意外的是,面对这样令人后怕的漏洞,360官方仅仅给出的危害评级仅仅为“中”。记者就同样的问题采访相关专家时获悉,在微软的漏洞评价等级中,涉及远程执行和密码泄露的漏洞通常应当给予“非常严重”的评价。由此看来,360官方对漏洞的回应,态度值得回味,不免有“捂盖子”的嫌疑。
而不得不提到的是,这已经是360在短短一年里,连续两次被发现了同一类型、同样原理的BUG。记者查看乌云网的过往漏洞记录,查到2012年就已经有“白帽子”发现360的密码找回机制存在类似缺陷。究竟是360在同一个问题上连续犯下两次致命的技术失误,还是说360根本没有对技术人员所反映的问题引起足够的重视,低估用户智商,则非常值得思考。
多位安全专家亦表示,在中国互联网协会《互联网终端安全服务自律公约》第十三条、工信部《规范互联网信息服务市场秩序若干规定》第十三条、《互联网终端软件服务行业自律公约》第八条等多项条例中均强调了互联网信息服务提供者应当加强系统安全防护,保护用户个人信息安全。然而,从目前来看,以“安全”起家的360,在基础系统设计的安全问题上做的可能还远远不够。
相关财富 |
新闻头条 |
推荐财富 |