360上传证券期货客户用户名密码 证券机构惊慌自卫

今年5月7日，苹果再次将360产品下架。
　　当人们的印象还停留在今年初苹果大面积下架360产品的时候，苹果却悄然采取了又一次的360产品下架行动。这次下架，正如业内一位专家“歪”用徐志摩的诗所言：“悄悄地下了，正如其悄悄地上”。
　　这次下架的360产品，依然为360浏览器产品，但它并不是正被下架中的“360浏览器”，而是一款名为“360浏览器（iPhone版）”的产品。
　　《每日经济新闻》记者独家发现并跟踪了这一事件的整个过程。
　　360产品被苹果解禁？/
　　1月25日，苹果AppStore全面下架了奇虎360的相关应用，包括360手机卫士、360浏览器HD、360电池医生、360安全备份和360口信等20多款应用。此后，这些产品均无法在AppStore中搜到。
　　不过，两个月之后，上述事件却有了魔术般的演进。3月29日，《每日经济新闻》记者注意到，一款名为“360浏览器（iPhone版）”产品悄然在苹果AppStore上架。值得注意的是，此前苹果AppStore下架的“360浏览器”则为“360浏览器HD”。
　　据记者试用该产品，并经业内多位专家试用后均一致认为，这款“360浏览器（iPhone版）”产品其实就是原“360浏览器HD”的升级版，只不过现在改换了名称而已。
　　这不禁让人感到好奇：难道苹果与360私下达成协议，默许360相关产品重新回归AppStore？如果是苹果对360产品放行，为什么一向高调的360竟如此“低调”，并未对外界宣布此事？还是有开发者冒用“360”之名？
　　据一位接近苹果的知情人士透露，苹果并未对360放行。就在4月初，360还通过各种渠道同苹果接洽，并试图与苹果美国总部沟通，这也引发了苹果美国高管的“反感”。
　　上述知情人士透露，早在1月25日之前，苹果就启动了对360长达数月的调查，目前苹果已经掌握了包括360违反苹果游戏规则以及投资“快用”等详细的证据。360的行为，属于严重违反苹果生态相关游戏规则的行为，处以“极刑”的可能性较大。
　　该知情人士进一步透露，此前360产品被苹果下架，坊间一直传言是“全部下架”，其实这个表述是不准确的。有一类360产品在此中“幸免于难”，它就是“360云盘”产品。
　　而其幸运的原因，可以追溯到一年前。据《每日经济新闻》记者调查了解，2012年2月2日，360遭遇苹果下架处罚，由于360的无线产品都在同一个开发者账号下，从而导致了全线产品下架。此后，360将其AppStore的账号分拆为3个账号以规避全线下架的风险。这三个后台账 号 ， 其 中 包 括 qihoo360technology、QizhiSoftware等。
　　“之所以云盘没有下架，正是因为其使用的是Qizhi账户。这个账户下的产品逃避了惩罚。”上述知情人士表示。
　　360穿上马甲玩“躲猫猫”/
　　既然苹果未对360放行，那么，这款“360浏览器（iPhone版）”背后的真相又是什么？其与360又有着怎样的关系？为此，记者展开了进一步的调查。
　　据调查，“360浏览器（iPhone版）”并非有人冒用名称，而是360在数月与苹果正面沟通无效的情况下，对该产品做了一些“处理”后悄悄回到AppStore，与苹果玩起了“躲猫猫”的游戏。而这一切实现的关键点在于名为“wanbokesi”（以下简称万博科思）公司的出现。根据苹果官方信息，“360浏览器（iPhone版）”产品在AppStore上登记的产品开发者信息是一个名为 “万博科思”的开发商。
　　那么，“万博科思”这家第三方开发商与360有着怎样的神秘关系？
　　记者了解到，“万博科思”的公司法定代表人为谢建云，此人是360的员工，其在360的职位是“知识产权总监”，而该公司注册资本方为北京奇虎科技有限公司，这意味着，“万博科思”是360的全资子公司。
　　此外，记者还发现，从360官方的“AppStore”链接，进入的页面正是通过万博科思上架的“360浏览器（iPhone版）”。
　　一位不愿意透露姓名的国内某App开发商负责人向 《每日经济新闻》记者透露，在苹果的AppStore中，由于苹果严格的政策规定，App应用一旦被下架，要重新上架需经过很复杂的过程，因此很多第三方开发者会选择注册不同账户作为“马甲”为掩护。一旦一个账号被封杀，便立即采用另一个账号重新上架，而这种方式多被国内的游戏公司所运用。
　　这是否也意味着，360就是通过注册新的子公司，涉嫌以偷梁换柱的手法，重新获得了在苹果上架的机会？
　　但是，这一并不高明的伎俩，为什么会在以科学、缜密著称的苹果公司获得通过呢？
　　上述App开发商负责人表示，在苹果产品上架的审核流程中，苹果更多地关注开发者上架产品内容是否合规、是否达到技术的指标、版权因素等方面，并不会过多地关注开发者信息，而这也导致了被苹果下架的违规产品的下架信息并不会在该产品的账户信息中记录在案，这也为360“换马甲”违规上架提供了可能性。
　　“这或许正是苹果的一个管理系统BUG。”这位App开发商负责人表示。不过，他强调，虽然国内的开发者可以利用此漏洞违规上架，但是，一旦苹果发现后则会立即将此再下架。
　　正是在此情况下，国内某机构直接将“360浏览器（iPhone版）”偷梁换柱上架的情况举报给了苹果公司。而据接近苹果内部的人士透露，4月18日，苹果中国将此消息告知美国总部，美国总部针对360违规上架一事，专门召集相关部门进行了专题讨论。
　　5月7日，苹果对360再次动刀，将“360浏览器（iPhone版）”从AppStore下架。
　　记者获得的来自美国方面的最新信息显示：此次下架的意义，并不仅是此款产品的下架，“其甚至会严重影响360其他产品的重新上架，因为360的这一行为，再次挑战了苹果的生态规则，必将‘罪加一等’。这对360来说，无疑是雪上加霜”。
　　（出于对记者人身安全的考虑用化名）

近年来，奇虎360科技有限公司（以下简称360）旗下的相关安全产品，一直处于被舆论质疑的风口浪尖。为此，360在多种场合，向外展示了 “国内外三大权威机构”的相关认证，以自证清白。
　　然而，《每日经济新闻》记者调查了解到，“国内外三大权威机构”的相关认证也并不一定能证明360所有安全产品就是100%安全的，其中存在偷换标准概念、“替身式”测试以及360以“三步曲”的方式，为360产品勾勒“安全”与“合格”的外衣等作弊嫌疑。
　　一步曲：认证标准“跳高赛”自降“栏杆”
　　在跳高资格赛中，一般都会设立一个最低标准，比如1.80米获得资格赛。如果有队员将标杆从1.80米降低为1.60米，然后宣称获得资格赛资格，那算是典型的作弊。
　　360在安全产品安全等级概念方面，则涉嫌玩弄了这样的手法。
　　今年2月，360在发布的一份声明中宣称：360所有产品均“通过了中国信息安全测评中心的测评……以及国内外网络安全软件的各项标准，安全可信。”
　　周鸿祎进一步补充说：“将安全浏览器送检两家评测机构检测，主要是因为方舟子质疑360浏览器的安全问题”，“360为此花了两个月时间得到了EAL2级检测结果，而国内没有浏览器达到这个级别。”
　　2月28日，在360召开的“媒体开放日恳谈会”上，360技术工程师声称，“只要过了EAL1，安全性就很有保证了，而EAL2级是公共系统要求，EAL4已经达到了美国军方的标准。”
　　EAL2级标准，果真是这样吗？
　　先来看一看，“EAL2”到底是怎样的一个安全级别标准呢？
　　安全专家李铁军向《每日经济新闻》记者介绍说，“国际上都把CC
　　（1999年12月正式颁布国际标准ISO／IEC15408《信息技术、安全技术、信息技术安全性评估准则》CommonCriteria，简称为CC）作为评估信息技术安全性的通用尺度和方法。”
　　李铁军进一步介绍说，CC将评估级分为7级，其分别为：
　　EAL1：功能行为与文档一致；对已知威胁提供了保护。低级安全保证。功能测试。
　　EAL2：低级到中级安全保证，但无完整开发记录，审查开发者所做的测试和脆弱性分析。结构测试。
　　EAL3：中级的独立保证的安全保证，彻查开发过程。
　　EAL4：中级到高级的独立保证的安全性，审查详细设计与重要实现（代码）。
　　EAL5~7：完全代码级。略。
　　独立调查员描述了“EAL2”在评估等级中的位置：“EAL2级评估仅比功能测试级 （EAL1）稍高一点，而诸如安全加强的高层设计（概要设计）、低层设计 （详细设计）、设计实现（代码）子集、安全策略模型、测试覆盖分析、问题跟踪覆盖、独立的脆弱性分析等重要的安全评估手段全部不涉及。”
　　中国安全专家、北京知道创宇信息技术有限公司创始人赵伟则指出，浏览器对于安全等级的要求比一般的软件产品高，而微软浏览器InternetExplorer则达到“EAL4+”级。此外，国内主流的防火墙厂商如华为、天融信等一般都达到EAL3。他说：“像所谓安全浏览器此类对于高度敏感的基于云服务的登录管家模块，最少要做EAL4级评估，只做到EAL2级评估纯属隔靴搔痒、无实际意义。”
　　由此可知，EAL2是安全产品的初级标准，而对360安全浏览器而言，其不仅不能证明其合格，反而证明了其只是一个非常初级的安全产品，但360却将EAL2作为宣扬其产品合格的依据。
　　二步曲：检测样本“云遮雾障法”
　　近年来，360在安全产品评测方面，做了许多工作，但据业内专家、知情人士透露，360在评测中有许多地方“含糊不清”，“给这些评测结果打了问号”。赵伟便对《每日经济新闻》记者指出，“360的许多评测，值得好好推敲，不然会给这个行业开个坏头。”
　　一位深度参与相关评测工作的业内专家提供证据指出，2012年10月，360送检中国信息安全测评中心的测试样本“有问题”。
　　其主要问题有：其提供的样本监测目标，仅为针对其安全浏览器的登录管家模块：串号登录问题；评测报告并未注明所代表的产品版本，仅能看到评测模块的版本为“1.2.0.1071”；更为蹊跷的是，评测报告发表当日，从360官方下载的最新浏览器登录管家模块版本却是“1.0.8.1070”，明显低于送检版本，而送检版本属“未来”版本。
　　该专家进一步指出，2012年10月29日，360向中国软件（行情,资金,股吧,问诊）评测中心送检了评测，评测目标是：360安全浏览器数据上传下载已加密，并经过用户许可；360安全浏览器可以正常安装和卸载；以及360安全浏览器的 “云查询”功能以密文方式加密传输。但技术验证报告，却没有注明具体的产品版本和模块版本。
　　中国人民大学教授石文昌也曾对这份由中国软件评测中心出具的测评结果表示质疑，主要表现在：第一，对安全评测思想及其中的EAL概念不了解；第二，对产品的安全性概念了解不够。
　　同样的问题也出现在“东方之星（Starcheck）认证”中。
　　所谓“东方之星（Starcheck）认证”，是国际上著名的评测认证，由美国西海岸实验室实施认证。如果达到“东方之星（Starcheck）认证”，则表明该产品已达到较高水平。
　　该次检测的产品版本是360安全卫士的5.1Beta版，其安装量很小。赵伟认为：“其不具备代表性”。
　　独立调查员认为，360在2月28日的媒体发布会上公开出示的所有第三方认证的产品等级测试均为黑盒测试范畴（EAL4及以上才是白盒测试级），而像此前独立调查员曝光的360浏览器后门机制，则到了白盒测试的深度。360以黑盒测试的结果来否定白盒测试结论显然是“隔靴搔痒”。
　　此外，独立调查员进一步指出，这些测评所涉及到的测试对象、测试性质均与其被质疑侵犯隐私权、不正当竞争等行为无关，其无法“自证清白”。（见表1）
　　三步曲：与评测机构间存关联性关系
　　从上表中不难看出，在对360产品的评测中，漏洞不少。这些评测项目如此过关，除了与360本身有关外，评测机构在评测中，似乎也存在不够严谨的现象。
　　而这些评测机构，似乎也与360公司在关系上，“过于接近”。
　　从公开信息中可以查到，2012年3月，工信部发布了《关于申报2012年度电子信息产业发展基金招标项目的通知》，中国软件评测中心智能移动终端测试实验室对相关项目进行了积极的研究和探讨，并最终和北京奇虎科技有限公司携手成功申报了《移动互联网智能手机终端个人信息保护软件研发》项目。这一信息表明，360与中国软件评测中心有重大项目合作关系。
　　而中国信息安全测评中心是代表国家具体实施信息安全测评认证的实体机构，奇虎360公司副总裁石晓虹代表360公司，先后参与了国家计算机网络与信息安全管理中心、中国信息安全测评中心等多家单位的科研项目，并作为项目负责人。这些项目包括：无线局域网访问系统安全技术要求研究、基于硬件虚拟机的安全技术研究、Vista体系结构分析研究、多引擎恶意代码检测技术研究与开发、Vista内存安全机制分析等10余项。
　　独立调查员认为，“作为中立的评测机构，保持独立性是最为重要的，但这些机构与360有这样密切的关系，这样的评测很容易有失偏颇。”
　　此外，独立调查员还指出，360近期尽管做了许多“自证清白”的工作，但它所提供的“第三方测评”，其测试对象只是产品本身，不涉及其产品运营体系。而旗下囊括服务器（云安全中心）和客户端（安全卫士、杀毒、浏览器等）在内的360相关产品之下，360并非传统的独立软件提供商，而是同时兼具其产品的提供商和超级用户的角色，因此其一般用户的系统安全和信息安全风险并非目前的测评标准或规范所能涵盖，这是公共云计算时代在安全领域的崭新课题。这些都是其所谓“权威认证”无可辩驳的硬伤。
　　（出于对记者人身安全的考虑用化名）