商業篇：360：互聯網的“一枝黃花”

 

    瞬雨認為，360很像中國互聯網界的“一枝黃花”。360董事長周鴻祎一直強調“破壞性創新”，這正是“一枝黃花”的最好注解。

 

    對于360及周鴻祎，外界基本上分為兩個陣營：愛之者為之歡呼，恨之者為之切齒。而歡呼者，正是出于對其破壞性快感的獲得，以及對其破壞過程中所呈現的“流氓特性”的認可；而切齒者，則不僅因其對整個互聯網社會的強大破壞力，更緣于其不斷地突破底線，以及對人們價值觀的不斷挑戰。

 

    “破壞是一件容易的事，而建設才是根本。創新不能總是以破壞為代價。”瞬雨向《每日經濟新聞》記者表示，“釀制出一只青花瓷瓶，或許需要數月甚至數年的精到功夫與時間，但破壞它，一錘子砸它，只需要一秒鐘。”

 

    瞬雨認為，360更大的危害，在于其還有許多人們所不能見的潛在威脅：360安全衛士、360瀏覽器的“癌性基因”。

 

    作為互聯網安全廠商，最重要的特性，就是恪守“第三方安全”準則：不得隨意代替用戶作決定或處理；不得以安全的名義，為廠商自己牟利；不得在安全領域，既當運動員，又是裁判員。

 

    但360恰恰就在這些方面，完全違背了安全廠商的基本準則。當360安全衛士、360安全瀏覽器植入用戶電腦的時候，360便通過它們在用戶知情或不知情的情況下，直接代替用戶做決定，完成各種動作。

 

    “這樣的產品在市場上將是無敵的。”瞬雨舉例說，“一場拳擊賽，A方只可以以拳擊打對方的有效部位，但B方卻可以手腳并用，并可以攻擊你的下三路，那A方必輸無疑。”

 

    這是360致勝的法寶。

 

    而在掠奪市場的過程中，360安全衛士、360瀏覽器恰是一對并蒂的“惡之花”。

 

    商業篇之一·生意經

 

    360生意經：圈地運動與癌性擴張

 

    每經記者秦俑

 

 

 

    近日，百度要求鳳巢（百度搜索 營銷 管理 平臺）用戶安裝安全插件，以檢驗瀏覽器的安全性。而360以用戶名義，給予這個插件以“網友差評”標簽，并通過其系統，認定該插件為“偷拍插件”。然后，在360安全衛士的“清理插件”功能下，直接誘導和恐嚇用戶卸載該插件。

 

    360憑什么將百度這個插件定義為“偷拍插件”？憑什么要用戶卸載？事實上，全球其他所有瀏覽器均對上述插件無異議。

 

 

 

    獨立調查員向《每日經濟新聞》記者分析說，360軟件（含互聯網服務）產品，涵蓋安全防護（安全衛士、手機衛士、殺毒等）、操作環境（瀏覽器、桌面、軟件管家等）、工具軟件（五花八門）、游戲平臺、導航搜索和電商網站等，“如果把電腦系統比作軟件產品的運動場，從安全角度看，安全防護產品是裁判員，其他產品則是運動員”。

 

    很顯然，360兼具裁判員、運動員雙重身份。

 

    做為裁判員，360能否公平對待同場競爭的運動員（競爭對手）和看臺觀眾（用戶），是人們判斷其價值最關鍵、也是最重要的因素。

 

    “我們無法想象，微軟會通過Windows產品不斷提示用戶IE才是安全的瀏覽器、借網民的名義指控Google搜索是釣魚網銀的幫兇、騰訊電腦管家是最差的安全防護產品；我們無法想象，微軟通過Windows產品把用戶安裝的所有瀏覽器的默認首頁都強行設定為自身的官方網站；我們無法想象，微軟會通過Windows產品向全球電腦秘密下達卸載Chrome瀏覽器的指令；我們無法想象，微軟Bing搜索引擎盜用Google搜索引擎的結果數據。”獨立調查員說，“是的，善良的人們無法想象，更無法接受這一切，有社會責任感的企業公民對此都會嗤之以鼻——‘我們絕不這么干！’”

 

    獨立調查員認為，360有兩條“成功密鑰”，第一，是以“民事訴訟8連敗”為代表的發展模式:先踩法律底線，以求先發展——在中國，360鉆了品牌與道德成本太低的空子；第二，就是以安全和免費名義“綁架”用戶，然后以安全裁判員的身份，展開“競爭”。

 

    以“永久免費”為口號，360安全衛士及其關聯產品很快占據較高市場份額。

 

    “電腦安全性評分”是360安全衛士最重要的基礎性功能。360安全衛士會自動掃描客戶端所在系統的“安全隱患”，不符合360“安全標準”要求的就扣分，但評分標準和權重并不公開。

 

    比如全新安裝的Windows7，在開啟自動更新、尚未安裝任何第三方軟件前，360安全衛士對其安全評估結果竟是0分（滿分100分）。這個0分意味著什么？Windows真的很不安全？實際測試發現，根據其安全警示清單一項一項“優化或修復”后，評分逐步增加，但始終處于低位、不到60分，直到“優化瀏覽器”并“鎖定首頁”后，安全性評分迅速接近滿分！事實上，所謂“優化瀏覽器”就是“安裝360瀏覽器并設定為默認瀏覽器”，“鎖定首頁”就是“修改首頁為360導航”。

 

    需要修復的項目還有（不限于）：卸載“差評插件”百度瀏覽器工具欄、優化IE（實為篡改IE的首頁、標簽頁、默認搜索引擎為360的有關服務）、刪除收藏夾中對手的項目（百度、騰訊、谷歌等）等等。

 

    360安全衛士甚至曾偽裝成微軟Windows補丁安裝程序KB360018，以“IE6內核升級”的名義欺騙用戶安裝360瀏覽器。國外權威技術網站SystemExplorer已將360的這個假冒微軟系統補丁文件定為“100%安全威脅”，從而使后者遭遇微軟調查。

 

    尤其是360安全衛士在評分后的“一鍵修復”功能，更是其占領市場的利器。其借助傻瓜式的“一鍵修復”，導致用戶在電腦上用什么、不用什么，都由360安全衛士說了算，至于是否都與安全性有關，一般用戶自然看不出門道，相反還會對360的這些“強奸”行為“感恩戴德”——這些用戶原本連安裝或卸載軟件的操作都不熟練，而360安全衛士就是一臺“傻瓜相機”。

 

    事實上，360安全衛士不只是一臺“傻瓜相機”，其云安全數據中心動態控制著一切，可以根據360自身需要更改其軟件資料庫、評分標準和權重，隨時準備向對手發起“云查殺”以保護自身利益。

 

    獨立調查員向《每日經濟新聞》記者分析說，360的發展路徑，即從360軟件產品底層技術構架開始，埋下不同于所有互聯網公司發展的“癌變基因”，然后，此“癌變基因”通過浸潤，向操作環境領域發展，再向工具軟件、游戲平臺發展，最終進入真正的互聯網領域——導航、搜索、電商網站，以及電商網銀體系等。

 

    

 

 

 

    360綠色網站的安全謊言：“偷梁換柱”浸潤電商網銀安全體系/

 

    2月6日，360官網上一條“網購首選，3億用戶的共同選擇”的廣告悄然上線。打開這條廣告鏈接，以“網購安全”為主題的新款“360安全瀏覽器”赫然在目。

 

    據《每日經濟新聞》記者獲得的360內部信息，360將借今年的“3·15”活動，大力推動與國內電商企業的合作，以將360安全瀏覽器植入電商領域。這則推廣廣告，正是這一步驟的前奏曲。

 

    據記者調查，360兩年前開始布局電子商務安全領域，其最先打出的“安全產品”是“網銀無憂”、“地點 欄銘牌”，即360瀏覽器主推的“綠色網站認證”。

 

    360向人們傳遞的信息是，“360綠色網站認證”可以確保用戶使用網銀以及電子商務交易安全。

 

    眾所周知，電子商務的交易安全，尤其是網銀，一直是網民、乃至整個社會焦點關注的問題之一。歐美、日本等國家的網銀安全體系非常復雜與發達，而國內的網銀體系，也是在小心設想、小心求證的前提下，一步步地展開。

 

    那么，360是否真的具備這個能力——取代網銀服務提供者身份驗證體系，由自身來充當網銀“保鏢”呢？

 

    獨立調查員懷疑360公司是否具備這個能力。于是，他進行了如下實驗，以了解360綠色網站認證機制：

 

    在本機模擬，將招行網銀域名劫持到IP為50.63.127.126(xliar.com)的網站，并在目標服務器上構建相應目錄體系和登錄頁文件，然后使用360安全瀏覽器訪問招行大眾版登錄頁，從而進入偽裝的招行網銀頁面。

 

    360網購保鏢自動檢測招行運行環境，幾秒鐘后完成檢測，報告“本次檢測未發現風險，現在可以放心網購了！”

 

    此時瀏覽器地點 欄銘牌顯示為“招商銀行”，點擊后彈出“通過綠色網站認證”，披著“招行網銀”外衣的劫持網址，即被360認證為招行官方網站。

 

    而同樣的操作，使用IE瀏覽器訪問時，IE瀏覽器地點 欄則會以非常顯眼的方式告知用戶“（網站數字）證書錯誤”，點擊錯誤信息可知，該網站證書不屬于招商銀行網站。

 

    事實上，用國際主流的瀏覽器均會彈出類似的錯誤提醒警示，用戶收到信息后自然會停止交易、避免損失。

 

    這意味著，如果一家詐騙網站通過域名劫持招商銀行網站，所謂的“360綠色網站認證”并不能有效執行網銀保鏢的辨識功能，進行安全認證。

 

    360安全瀏覽器的安全檢查能力為什么會如此之低呢？

 

    據《每日經濟新聞》記者了解，目前國際主流的認證機構為VeriSign，包括中國工商銀行、中國建設銀行、中國銀行、中國農業銀行均采用該機構認證。招商銀行網頁所顯示的，也正是該機構的認證，這也作為網上銀行安全的基本保證而得到公認。

 

    而獨立調查員演示的證據顯示，360瀏覽器直接屏蔽認證機構VeriSign基于加密體系的可信認證，將其替換成了360綠色網站認證。

 

    獨立調查員提醒網購者，應信任銀行網站自身的安全證書，并在整個交易過程中關注地點 欄域名和安全證書中的域名是否一致，以及其根域名是否與官方域名一致，切勿輕易信任和依賴360的“綠色網站認證”。

 

    獨立調查員認為，這又是另一起360“破壞性創新”的典型案例：“一點技術含量也沒有的網站身份認證，竟然可以公然取代國際上通行的網上銀行安全認證體系。這就是360的非創新型破壞。”

 

    然而，對于類似公然挑釁國際準則的行為，為什么監管部門可以坐視不管呢？

 

    可以預想的是，一旦360大規模啟動“各大電商推薦安全購物使用360瀏覽器”活動，人們的網上購物均要依賴于“360綠色網站認證”，360收獲的將是又一次360式“癌性擴張”，而中國的網銀體系又將會面臨怎樣的可怕變局？

 

    移動圈地：“非創新型”破壞或止步于蘋果？/

 

    在360的2012年年會上，360董事長周鴻祎對員工指出：“我認為未來兩年將決定整個無線互聯網的市場格局……在過去的一年，360手機衛士用戶量突破2億，360手機助手的用戶量也突破了1億，成為360在無線互聯網上的兩個支柱。但兩根柱子支撐不了一個房子，我希望各個團隊在2013年會有新的產品能夠脫穎而出，包括很多PC的產品也可以尋找在無線上的發展機會。很簡單，未來不會再有無線互聯網公司了，因為每個公司都必須是基于無線互聯網的；也不會有PC產品部、無線產品部的區分，因為以后所有產品都會在PC和移動終端上打通，而沒有無線互聯網策略和產品的公司將會被淘汰。”

 

    這段講話基本上代表了360近期在移動端發展與布局的方向。

 

    在移動端，360是否會重復使用“癌性擴張”的方式來圈地呢？

 

    《每日經濟新聞》記者在調查中發現，無論是微博還是公開的 論壇 ，皆有不少用戶曝光了360的一些“作惡”行為，大多包括以下內容：在智能手機通過USB接入電腦充電或同步數據時，360彈出手機助手的提示，不經意中安裝360的其他產品，甚至裝上360的產品之后，其他非360的應用會莫名其妙地“被卸載”。

 

    這也意味著，在移動端的圈地運動中，360依然在復制其PC領域的“癌式擴張”做法：除了做安全產品外，自身同時開發了全系列的手機軟件，然后重新演繹一遍其在PC端的玩法。

 

    據《每日經濟新聞》記者掌握的一份來自某互聯網工程師的爆料，包括360手機衛士、360手機通訊錄、360手機瀏覽器等系列產品存在明文上傳用戶隱私數據。上述爆料人提供的證據指出，在機場、咖啡廳，手機用戶使用WiFi上網時，只要登錄360手機衛士及360手機通訊錄，或者進行云備份或云恢復，用戶名（手機號）、手機IMEI碼和密碼等高度敏感信息就會通過請求網址明文傳輸，有了這些身份鑒別信息，可以使用任何瀏覽器從360通訊錄服務器tongxunlu.360.cn的非安全通道直接下載用戶云備份的通訊錄等隱私。

 

    這也意味著第三方可以輕松竊取360用戶登錄各個網站的密碼MD5信息和手機號，進而可以獲取用戶包括短信、彩信、通訊錄、通訊記錄等所有相關隱私數據，而且還可以篡改并進行釣魚。

 

    對此，獨立調查員進行了相應復檢，發現含高度敏感信息的請求網址的參數部分，僅以BASE64編碼（可簡單解碼，與明文無異），而用戶密碼雖然經過MD5加密、但是可直接用于登錄，且對客戶端合法性沒有任何校驗。獨立調查員向《每日經濟新聞》記者說，請求網址極易被非法攔截，在網址中明文夾帶傳輸高度敏感信息，以及使用非安全通道下載用戶隱私數據，等于把手機用戶隱私暴露在陽光下。