日前,权威漏洞报告平台乌云再次曝出奇虎360重大安全漏洞问题。据乌云描述 ,该漏洞可以导致任意用户登录密码被修改,随之可登录360手机卫士、360云盘、360浏览器云同步,进而完全获取任意用户备份在云空间的通讯录、短信、通话记录等。
据悉,知名女星苗圃个人账号可完全被窃取。据乌云截图显示,苗圃的通讯录、浏览器收藏夹、短信、电话簿等内容完全泄露。同时被测试的多位360高管帐号则显示其高管完全不使用360的产品。
(苗圃的“我喜欢”页面遭泄露)
据乌云漏洞平台披露的漏洞详细说明显示,360发给用户的帐号密码找回邮件中明文显示了用户的qid,通过修改qid号码任何人可随意修改任何360用户的帐号密码。同时,测试者根据360旗下图片社交网站获取了与qid完全匹配的用户名。
“如此一来,可以将任何360用户的帐号收为己用”,据测试者表示:“为了验证,找到了影星苗圃的360帐号,随之通过漏洞可以获取其360帐号所有信息,登陆后与本人使用毫无差别,可以完全读取苗圃通过360备份的网络收藏夹、电话簿、短信、通话记录等等。这个漏洞玩笑开大了”。
业内人士认为,如此级别的漏洞已经不能称之为“漏洞”,这相当于360数亿用户的个人隐私被完全暴露在外,当前也许已经有大量用户的电话簿、短信、通话纪录被不法分子获取,未来或将造成的个人信息及财产损失不可估量。
临近年底,电信诈骗案不断。影星汤唯前不久被诈骗21万元的消息已经全网皆知。专业人士对此指出,假如不法分子通过360的这一漏洞获取了用户来往短信,完全了解人们的日常信息往来情况,那么电信诈骗十分容易得手,且或将更加疯狂,其后果实在不堪想象。
“假如你在租房,犯罪分子可以阅读你的短信,然后伪装成房东让你汇款到其另一个帐号,所有信息完全匹配,会导致大量人受骗上当”,公安部门相关人士表示:“同时犯罪分子还可能利用个人信息进行敲诈勒索,这对社会治安造成了极大的影响”。
2013年1月,因刷榜以及涉嫌用户隐私等行为,360旗下所有的产品——包括360手机卫士、浏览器等在内的全部核心应用被苹果公司在App Store下架,迄今仍未恢复。由于担心内部商业信息和个人隐私可能被上传泄露,目前,台湾长庚大学、厦门大学、武汉大学等高校均发通知学生卸载360,宝钢集团、益海嘉里、AMD、网易等大型企业均禁止企业员工使用360产品。据CIO INSIGHT调查显示超过6成中国企业级首席信息官拒绝使用360。