引发360与众多手机厂商冲突的核心还在于“卸载应用商店”。 IC 供图

本报记者 李瀛寰 发自北京

360手机助手的更新功能,引发手机及安全行业震动,9月27日,一场卸载与反卸载的互搏由之而起,加入者不仅有腾讯、百度,华为、联想、小米等诸多手机厂商也按捺不住,与360交战。

在9月23日的中国互联网安全大会(ISC)上,360提出了泛安全理念。在泛安全之下,360一向推崇的“用户至上”再次延伸,开始整治手机预装软件这类“牛皮癣”。

手机预装软件,本是手机企业的领地。外界不禁质疑:360这次手伸得是不是太长了?而且引发360与众多手机厂商冲突的核心还在于“卸载应用商店”,360的“用户至上”是否用得过度?

神秘的“360天眼”

在360联合中国互联网协会和国家计算机网络应急技术处理协调中心(CNCERT/CC)主办的首次安全行业大会上,360提出的泛安全理念成了大会的一个核心焦点。

360公司董事长兼CEO周鸿祎发表演讲,对网络安全进行了重新定义,未来360将安全的业务范围从杀毒软件扩展到整个互联网领域,周鸿祎认为“泛安全才是安全行业的未来”。

周鸿祎认为,未来五年或十年里网络安全会变得更加严峻,现在的互联网安全公司不能只把杀毒软件当成安全产品,应该更广泛地关注用户的网络安全需求。他认为,除了电脑病毒外,用户的互联网安全还面临很多其他威胁,例如数据泄露、信息骚扰等。互联网安全公司不能只关注杀毒软件等传统安全产品,而应该更重视用户体验,把用户遇到与安全有关的问题都解决好,这才是新的产品思路。

“网络不可能实现真正的安全,网络也不可能实现永远的安全,就像没有最锋利的矛和最安全的盾。我们认为未来五年里或十年里网络安全会变得更加严峻。”周鸿祎称。

当下“泛安全”已不仅仅是单纯的技术问题,其关键在于挑战者有没有敢于得罪垄断巨头、得罪传统厂商的勇气。满足用户需求往往意味着与既得利益者为敌。周鸿祎演讲中也强调:“360手机卫士拦截骚扰电话,卖房卖保险的都会痛恨360,但深受此类电话短信骚扰的用户却对360拥戴欢迎。”

“毫无疑问,网络安全已经成为新的战场,那些虚弱的网络必然会伤害到国家的创新。”安全大会上,国际资深网络安全专家詹姆斯 刘易斯表示,“网络时代没有人是绝对安全的,就好像斯诺登告诉的一样,但我们可以创造一个更安全的网络空间。”

詹姆斯 刘易斯是中美网络安全“二轨对话”的主持人,奥巴马政府的“网络安全智囊”。作为国际公认的资深网络安全专家,他认为互联网已成为全球经济中最重要的基础设施,但是当前的互联网设计并不安全,由此给国家和社会带来诸多安全威胁。

此外,周鸿祎透露,360将发布神秘产品“360天眼”。他介绍,国外有一家专门做APT防御的公司“fireeye”刚刚上市,美国国防部等都在用该公司的产品,大概原理就是把企业的流量关进沙箱运行,层层分析后再将安全流量导出,未知程序禁止。360公司已经有同类的产品“360天眼”,即企业全流量侦听和未知威胁捕获产品,已经通过国家权威部门的测试,产品很快就会发布。

移动安全成众矢之的

在ISC上,国际著名信息技术研究分析公司Gartner携手360发布了名为《互联网时代的企业安全发展趋势》的报告。报告指出,到2020年,以预防为主的安全策略将是无效的或徒劳的,信息保护、快速响应和情报共享将成为信息安全策略基础的重心。

报告还指出中国企业网站安全问题严峻:75.6%国内网站存在高危漏洞,缺乏统一管理易形成“木桶效应”,需要建设立体防御体系才能有效解决。研究表明,到2020年,企业所面临的安全威胁将会更加多样化,不仅仅是企业资产,员工个人也可能遭到直接的攻击。另外,虽然有些企业采用了统筹协调的安全管理,但有些企业的安全管理仍相对松散,因此针对每种不同的具体情况,企业应对攻击的响应方式也会有所不同。

此外,随着移动互联网的普及,移动安全问题也成为此次大会的焦点之一。在9月23日下午举办的ISC移动安全高峰论坛上,360首席科学家、北莱罗纳州大学蒋旭宪教授同360移动研究院高级研究员周亚金发表了题为“定制Android操作系统的安全隐患”的演讲,并在现场演示了黑客如何利用定制手机引发的漏洞,导致恶意程序任意伪造来自银行的短信。

演示过程中,在座嘉宾看到,这些银行短信并非真实银行所发,而是由恶意程序伪装而来,且银行短信内容及发送号码可被任意控制。除银行短信外,还可伪装成亲友号码等更多的钓鱼短信,使接收用户丧失安全警惕,因此该类漏洞所出现的恶意程序具有非常大的迷惑性。

当前手机厂商的定制会引入非常严重的安全漏洞,如恶意软件可利用这些漏洞来获取系统权限,后台静默安装应用以及发送钓鱼短信等等。同时,在分析的手机中,64%-85%的漏洞都是由于厂商的定制所造成的。不仅如此,同一厂商的安卓手机漏洞并不一定会随着新型号的发布而减少。相反,新发布的手机有可能比旧型号的手机有更多的漏洞。

周亚金现场用一部红米手机做了演示,利用红米的一个漏洞,获得了最高控制权限,几秒钟后,手机内的联系人、短信等各种信息,都被上传到了后台。周亚金表示类似的情况在定制系统中广泛存在,安卓手机的安全问题应该得到广泛重视。

泛安全引发冲突

但事实上,360推进“泛安全”所面临的阻力要远比想象中的大,安全大会三天后,一场被业界称为“360失控”的冲突随即来临。

9月27日,小米公司称360手机助手在无任何理由的情况下,建议用户卸载小米商店及其他预装软件。由此,小米公司在其应用商店里全线下架360产品。原来26日晚,360更新了360手机助手,增加了“卸载预装软件”这一新功能。但在这一新功能上,360建议用户既可以卸载一款手机应用,甚至也建议用户卸载小米手机里的小米商店,这一举动也波及了华为的智汇云商店、联想的乐商店。

27日当天,华为和联想也先后宣布将360全线产品从其应用商店中下架。联想终端业务负责人陈文晖说,“在这段时间我们确实接到大量用户投诉,就是不知道什么原因我们的产品被删掉。对于现在目前这个情况,我们还是很谨慎地把这个产品下架”。但他也强调,360无法删除乐商店,但360还是会不停向用户发出提示,称这个程序应该被删除。联想的难题来自用户的困惑:乐商店到底是不是有问题?所以,先下架360产品再说。

事实上,360的初衷是帮助用户卸载多余的预装软件,但没想到,360却一下子连人家手机企业的应用下载核心—应用商店都要卸载。手机就是入口,各大手机厂商的预装不仅是收入来源,更是一个不比360弱的天然渠道。华为、联想、HTC、小米、中兴全在名单上。以联想为例,据联想副总裁刘军称,联想乐商店已经有7000万用户,乐商店下载量已经达到30亿次。

面对手机厂商的反弹以及下架产品,360紧急找各大手机企业调和,从360得到的消息表明,27日当天,360相关部门与华为、联想等企业谈判,消除误会,希望再次在人家的应用商店上架。从这一举动来看,360并非铁了心与手机厂商开战,有网友戏称:360一不小心成为全民公敌的根本原因就是挟用户安全以令天下,打着用户名义想做好事,却没想到步子迈得太大,不小心扯到了蛋。

随后,360再次发表声明,表示360手机助手近日推出的“卸载内置软件”功能只是一个新增的产品功能,让用户能了解手机中都有哪些软件,要保留或卸载哪些软件完全由用户自己做主,无意针对任何一家厂商或产品。声明变得更为柔和,怕再引起更多反弹。

据时代周报记者观察,截至9月29日中午,在周鸿祎和360人员的努力下,360产品已经在中华酷联等手机应用商店恢复上架。

为用户着想,用户体验才是第一位的,这是周鸿祎最爱说的话。但为用户着想,不意味着可以替用户拿主意。360自己辩解称,360手机助手只是建议用户可以卸载,没有强行替用户卸载,这不免被指有“既当运动员又当裁判员”之嫌。

有行业分析人士认为,360想扮演网络警察,以用户的名义,甚至有时会以“莫须有”的罪名挥舞安全大棒,挟安全以令天下,从这一点来看,360需要自律和节制。在商言商,甚至有网友认为,360时刻高举用户大旗本身就是一种“作秀”,这次的卸载与反卸载的冲突,无非就是变相的商业之争而己。

预装软件是手机上一大现象,但如何治理,还需要时间。360打出泛安全旗号,想治理更多的安全死角,不仅需要更强大的技术手段,还需要整个手机产业链的齐心合作,甚至还需要360拿出更公平的为用户服务之心态。