360绿色网站的安全谎言:“偷梁换柱”浸润电商网银安全体系/
2月6日,360官网上一条 “网购首选,3亿用户的共同选择”的广告悄然上线。打开这条广告链接,以“网购安全”为主题的新款“360安全浏览器”赫然在目。
据《每日经济新闻》记者获得的360内部信息,360将借今年的“3·15”活动,大力推动与国内电商企业的合作,以将360安全浏览器植入电商领域。这则推广广告,正是这一步骤的前奏曲。
据记者调查,360两年前开始布局电子商务安全领域,其最先打出的 “安全产品”是 “网银无忧”、“地址栏铭牌”,即360浏览器主推的“绿色网站认证”。
360向人们传递的信息是,“360绿色网站认证”可以确保用户使用网银以及电子商务交易安全。
众所周知,电子商务的交易安全,尤其是网银,一直是网民、乃至整个社会焦点关注的问题之一。欧美、日本等国家的网银安全体系非常复杂与发达,而国内的网银体系,也是在小心设想、小心求证的前提下,一步步地展开。
那么,360是否真的具备这个能力——取代网银服务提供者身份验证体系,由自身来充当网银“保镖”呢?
独立调查员怀疑360公司是否具备这个能力。于是,他进行了如下实验,以了解360绿色网站认证机制:
在本机模拟,将招行网银域名劫持到IP为50.63.127.126(xliar.com)的网站,并在目标服务器上构建相应目录体系和登录页文件,然后使用360安全浏览器访问招行大众版登录页,从而进入伪装的招行网银页面。
360网购保镖自动检测招行运行环境,几秒钟后完成检测,报告“本次检测未发现风险,现在可以放心网购了!”
此时浏览器地址栏铭牌显示为“招商银行”,点击后弹出“通过绿色网站认证”,披着“招行网银”外衣的劫持网址,即被360认证为招行官方网站。
图片1
而同样的操作,使用IE浏览器访问时,IE浏览器地址栏则会以非常显眼的方式告知用户“(网站数字)证书错误”,点击错误信息可知,该网站证书不属于招商银行网站。
事实上,用国际主流的浏览器均会弹出类似的错误提醒警示,用户收到信息后自然会停止交易、避免损失。
这意味着,如果一家诈骗网站通过域名劫持招商银行网站,所谓的“360绿色网站认证”并不能有效执行网银保镖的辨识功能,进行安全认证。
360安全浏览器的安全检查能力为什么会如此之低呢?
据 《每日经济新闻》记者了解,目前国际主流的认证机构为VeriSign,包括中国工商银行、中国建设银行、中国银行、中国农业银行均采用该机构认证。招商银行网页所显示的,也正是该机构的认证,这也作为网上银行安全的基本保证而得到公认。
而独立调查员演示的证据显示,360浏览器直接屏蔽认证机构VeriSign基于加密体系的可信认证,将其替换成了360绿色网站认证。
独立调查员提醒网购者,应信任银行网站自身的安全证书,并在整个交易过程中关注地址栏域名和安全证书中的域名是否一致,以及其根域名是否与官方域名一致,切勿轻易信任和依赖360的“绿色网站认证”。
独立调查员认为,这又是另一起360“破坏性创新”的典型案例:“一点技术含量也没有的网站身份认证,竟然可以公然取代国际上通行的网上银行安全认证体系。这就是360的非创新型破坏。”
然而,对于类似公然挑衅国际准则的行为,为什么监管部门可以坐视不管呢?
可以预想的是,一旦360大规模启动“各大电商推荐安全购物使用360浏览器”活动,人们的网上购物均要依赖于 “360绿色网站认证”,360收获的将是又一次360式“癌性扩张”,而中国的网银体系又将会面临怎样的可怕变局?
