360浏览器向用户页面插入代码或致隐私外泄新日

4月3日，权威漏洞报告平台乌云再次曝出奇虎360存在重大安全漏洞。据乌云描述，360向用户浏览的页面插入代码，导致360极速浏览器易被攻击。互联网安全专家建议，及时卸载360浏览器，防止个人隐私外泄等问题的发生。

乌云平台漏洞概要

据乌云漏洞平台披露的漏洞详细说明显示，此漏洞的本质是360官方插件利用浏览器的pc技术向用户浏览的页面插入代码，数据过滤不严(双引号的过滤)造成的，这将直接造成用户浏览安全的页面变得不安全。此外，该漏洞已有白帽子向360安全响应中心提交。然而，厂商(奇虎360公司)并没有及时正式改问题，而是主动忽略了该漏洞。

乌云曝光漏洞详情

其实，此前乌云早已多次爆出360存在安全漏洞，或致用户隐私泄露。2013年12月26日，乌云便爆出360存在安全漏洞，可以导致任意用户登录密码被修改，随之可登录360手机卫士、360云盘、360浏览器云同步，进而完全获取任意用户备份在云空间的通讯录、短信、通话记录等。据乌云截图显示，女星苗圃的通讯录、浏览器收藏夹、短信、电话簿等内容完全泄露。同时被测试的多位360高管帐号则显示其高管完全不使用360的产品。

(苗圃的“我喜欢”页面遭泄露)

除了乌云平台外，多家第三方权威机构曾经披露360存在安全漏洞等问题，却非但没有得到360的重视，反而有愈演愈烈之势。2012年11月26日，独立技术研究机构——互联网独立防御实验室(IDF)发布《关于360安全浏览器暗藏后门证据的独立检测报告》和《关于360安全卫士涉嫌窃取用户隐私的独立检测报告》，指出360安全卫士在用户不知情的情况下，搜集用户软件操作信息并上传至服务器，随后删除信息搜集过程中产生的临时文件。

IDF实验室工程师主管冯小刚表示：“经过我们的检测，360浏览器有可能威胁用户隐私，因为它的机制公开但不透明，存在后门机制。安全卫士有搜集用户软件操作行为的记录，并且上传，这与360发布的隐私保护白皮书和安装许可协议都是相违背的”。

截至记者发稿，360尚未对此次乌云披露的安全漏洞做出任何正面回应。

(责任编辑：硅谷网·)

上一篇：Windows免费了！只在屏幕小于9寸的移动设备上

下一篇：苹果iOS 7曝新漏洞：Find My iPhone功能自动关闭 对“360浏览器向用户页面插入代码 或致隐私外泄”发布评论

挂号电话

名医汇

挂号平台官网