初测360隐私保护器效果
特别策划
软件提示QQ有“窥私”嫌疑
运行360隐私保护器后,会弹出“建议打开QQ,五分钟内将会看到监测结果”的提示语,同时软件左上角显著的位置也有提示:腾讯QQ运行后将自动监控,“建议你一直开着(隐私保护器),实时进行监测”。
在打开QQ大约10分钟后,软件显示“共有1295个文件或目录被QQ查看过,其中47项可能涉及您的隐私”,对于可能涉及隐私的项目,360隐私保护器都给出了提示,比如“腾讯QQ查看过MSN聊天工具文件”、“腾讯QQ查看过搜狗输入法文件”……这些提示都以醒目的红色标注出来(安全软件中常用红色表示危险)。
另外,软件还提供了“赶快告诉我的朋友”、“把检测结果保存成图片”、“阻止隐私文件被‘窥视’”三个功能按钮,不过“阻止隐私文件被‘窥视’”功能并没有真正开启。对此,360在接受采访时表示,“作为一款安全软件,360隐私保护器目前解决的是让普通用户拥有知情权。至于是否加入‘阻止’功能,目前360官方论坛正在征集用户意见。”
其他程序名改成QQ也会提示?
从360隐私保护器呈现的结果以及提示来看,似乎验证了360关于“某聊天软件在未经用户许可的情况下偷窥用户个人隐私文件和数据”的说法,而且看上去还有点“严重”,让人感到害怕,但随后发生的事让人不得不怀疑起这款软件结果的可靠性。
在360推出360隐私保护器不久,就有网友将记事本程序的文件名修改成QQ.exe。结果360隐私保护器同样认为这是腾讯QQ,还分析出这个改名后的程序有“窥私”嫌疑。有意思的是,如果将360自己旗下的程序文件名修改成QQ.exe,使用360隐私保护器监控查看,不会有任何记录。
后来经过软件工程师分析,这可能是因为360隐私保护器耍了个小聪明:360隐私保护器开启后,它会先提取软件的版权信息,如果软件版权信息中有360公司的字样,那么360隐私保护器就会自动“闭眼”,当作什么都没有看见。而如果非360公司的版权信息,360隐私保护器则会将所有自己认为“可能泄密”的信息曝光。
为了证实工程师的分析,我们做了这样一个测试:先将360软件管理程序的名称修改为QQ.exe,再通过eXeScope或Restorator 这样的PE文件资源编辑工具打开360软件管家,然后在资源编辑软件中找到360软件管家的版权信息部分,将版权信息中部分含有“360”数字的版权信息全部修改替换成任意其他文字。
再次打开360隐私保护器,并运行我们修改完版权信息的360软件管家,结果此时360隐私保护器果然不再认自己的同门兄弟,开始“曝光”360软件管家查看过可能涉及隐私的文件。
为何会出现这种现象?据软件工程师分析,360隐私保护器主程序“360PrivacyCtrl.exe”启动后,会首先调用LoadLibraryW 加载360PrivacyMon.dll ,然后GetProcAddress 获取60PrivacyMon.dll的导出函数 StartMonitor 和StopMonitor 的地址 。通过调用StartMonitor实现监控,StartMonitor在内部调用SetWindowsHookExW注册一个WH_CBT的消息钩子,当有新的进程启动时,360PrivacyMon.dll就会被加载到该进程的内存中去。然后360PrivacyMon.dll会判断一下当前进程的名字是不是QQ.exe。如果是,则inlinehook Kernel32.dll导出的函数CreateFileW拦截QQ.exe对文件的访问(注:关于具体函数的作用可查阅相关文档)。
简单说,360隐私保护器就是监控QQ程序的CreateFileW动作,但无奈这个动作是Windows操作系统中所有软件都需要用到的,因此360隐私保护器在遇到自家兄弟后,也会出现涉嫌“窥私”的问题。
测试结论
360隐私保护器根据文件名匹配进行监控(新版本已修改),而目前所使用的技术,只能监控软件调用了那些文件,至于这些调用行为是否正常并没给出结论,如果以此来判断有窥私嫌疑,显得过于草率,360还需要拿出有力的证据来证明腾讯QQ存在泄密问题。