瞬雨認為，360很像中國互聯(lián)網(wǎng)界的“一枝黃花”。360董事長周鴻祎一直強調(diào)“破壞性創(chuàng)新”，這正是“一枝黃花”的最好注解。

 

    對于360及周鴻祎，外界基本上分為兩個陣營：愛之者為之歡呼，恨之者為之切齒。而歡呼者，正是出于對其破壞性快感的獲得，以及對其破壞過程中所呈現(xiàn)的“流氓特性”的認可；而切齒者，則不僅因其對整個互聯(lián)網(wǎng)社會的強大破壞力，更緣于其不斷地突破底線，以及對人們價值觀的不斷挑戰(zhàn)。

 

    “破壞是一件容易的事，而建設才是根本。創(chuàng)新不能總是以破壞為代價。”瞬雨向《每日經(jīng)濟新聞》記者表示，“釀制出一只青花瓷瓶，或許需要數(shù)月甚至數(shù)年的精到功夫與時間，但破壞它，一錘子砸它，只需要一秒鐘。”

 

    瞬雨認為，360更大的危害，在于其還有許多人們所不能見的潛在威脅：360安全衛(wèi)士、360瀏覽器的“癌性基因”。

 

    作為互聯(lián)網(wǎng)安全廠商，最重要的特性，就是恪守“第三方安全”準則：不得隨意代替用戶作決定或處理；不得以安全的名義，為廠商自己牟利；不得在安全領域，既當運動員，又是裁判員。

 

    但360恰恰就在這些方面，完全違背了安全廠商的基本準則。當360安全衛(wèi)士、360安全瀏覽器植入用戶電腦的時候，360便通過它們在用戶知情或不知情的情況下，直接代替用戶做決定，完成各種動作。

 

    “這樣的產(chǎn)品在市場上將是無敵的。”瞬雨舉例說，“一場拳擊賽，A方只可以以拳擊打對方的有效部位，但B方卻可以手腳并用，并可以攻擊你的下三路，那A方必輸無疑。”

 

    這是360致勝的法寶。

 

    而在掠奪市場的過程中，360安全衛(wèi)士、360瀏覽器恰是一對并蒂的“惡之花”。

 

    商業(yè)篇之一·生意經(jīng)

 

    360生意經(jīng)：圈地運動與癌性擴張

 

    每經(jīng)記者秦俑

 

 

 

    近日，百度要求鳳巢（百度搜索 營銷 管理 平臺）用戶安裝安全插件，以檢驗瀏覽器的安全性。而360以用戶名義，給予這個插件以“網(wǎng)友差評”標簽，并通過其系統(tǒng)，認定該插件為“偷拍插件”。然后，在360安全衛(wèi)士的“清理插件”功能下，直接誘導和恐嚇用戶卸載該插件。

 

    360憑什么將百度這個插件定義為“偷拍插件”？憑什么要用戶卸載？事實上，全球其他所有瀏覽器均對上述插件無異議。

 

 

 

    獨立調(diào)查員向《每日經(jīng)濟新聞》記者分析說，360軟件（含互聯(lián)網(wǎng)服務）產(chǎn)品，涵蓋安全防護（安全衛(wèi)士、手機衛(wèi)士、殺毒等）、操作環(huán)境（瀏覽器、桌面、軟件管家等）、工具軟件（五花八門）、游戲平臺、導航搜索和電商網(wǎng)站等，“如果把電腦系統(tǒng)比作軟件產(chǎn)品的運動場，從安全角度看，安全防護產(chǎn)品是裁判員，其他產(chǎn)品則是運動員”。

 

    很顯然，360兼具裁判員、運動員雙重身份。

 

    做為裁判員，360能否公平對待同場競爭的運動員（競爭對手）和看臺觀眾（用戶），是人們判斷其價值最關鍵、也是最重要的因素。

 

    “我們無法想象，微軟會通過Windows產(chǎn)品不斷提示用戶IE才是安全的瀏覽器、借網(wǎng)民的名義指控Google搜索是釣魚網(wǎng)銀的幫兇、騰訊電腦管家是最差的安全防護產(chǎn)品；我們無法想象，微軟通過Windows產(chǎn)品把用戶安裝的所有瀏覽器的默認首頁都強行設定為自身的官方網(wǎng)站；我們無法想象，微軟會通過Windows產(chǎn)品向全球電腦秘密下達卸載Chrome瀏覽器的指令；我們無法想象，微軟Bing搜索引擎盜用Google搜索引擎的結果數(shù)據(jù)。”獨立調(diào)查員說，“是的，善良的人們無法想象，更無法接受這一切，有社會責任感的企業(yè)公民對此都會嗤之以鼻——‘我們絕不這么干！’”

 

    獨立調(diào)查員認為，360有兩條“成功密鑰”，第一，是以“民事訴訟8連敗”為代表的發(fā)展模式:先踩法律底線，以求先發(fā)展——在中國，360鉆了品牌與道德成本太低的空子；第二，就是以安全和免費名義“綁架”用戶，然后以安全裁判員的身份，展開“競爭”。

 

    以“永久免費”為口號，360安全衛(wèi)士及其關聯(lián)產(chǎn)品很快占據(jù)較高市場份額。

 

    “電腦安全性評分”是360安全衛(wèi)士最重要的基礎性功能。360安全衛(wèi)士會自動掃描客戶端所在系統(tǒng)的“安全隱患”，不符合360“安全標準”要求的就扣分，但評分標準和權重并不公開。

 

    比如全新安裝的Windows7，在開啟自動更新、尚未安裝任何第三方軟件前，360安全衛(wèi)士對其安全評估結果竟是0分（滿分100分）。這個0分意味著什么？Windows真的很不安全？實際測試發(fā)現(xiàn)，根據(jù)其安全警示清單一項一項“優(yōu)化或修復”后，評分逐步增加，但始終處于低位、不到60分，直到“優(yōu)化瀏覽器”并“鎖定首頁”后，安全性評分迅速接近滿分！事實上，所謂“優(yōu)化瀏覽器”就是“安裝360瀏覽器并設定為默認瀏覽器”，“鎖定首頁”就是“修改首頁為360導航”。

 

    需要修復的項目還有（不限于）：卸載“差評插件”百度瀏覽器工具欄、優(yōu)化IE（實為篡改IE的首頁、標簽頁、默認搜索引擎為360的有關服務）、刪除收藏夾中對手的項目（百度、騰訊、谷歌等）等等。

 

    360安全衛(wèi)士甚至曾偽裝成微軟Windows補丁安裝程序KB360018，以“IE6內(nèi)核升級”的名義欺騙用戶安裝360瀏覽器。國外權威技術網(wǎng)站SystemExplorer已將360的這個假冒微軟系統(tǒng)補丁文件定為“100%安全威脅”，從而使后者遭遇微軟調(diào)查。

 

    尤其是360安全衛(wèi)士在評分后的“一鍵修復”功能，更是其占領市場的利器。其借助傻瓜式的“一鍵修復”，導致用戶在電腦上用什么、不用什么，都由360安全衛(wèi)士說了算，至于是否都與安全性有關，一般用戶自然看不出門道，相反還會對360的這些“強奸”行為“感恩戴德”——這些用戶原本連安裝或卸載軟件的操作都不熟練，而360安全衛(wèi)士就是一臺“傻瓜相機”。

 

    事實上，360安全衛(wèi)士不只是一臺“傻瓜相機”，其云安全數(shù)據(jù)中心動態(tài)控制著一切，可以根據(jù)360自身需要更改其軟件資料庫、評分標準和權重，隨時準備向對手發(fā)起“云查殺”以保護自身利益。

 

    獨立調(diào)查員向《每日經(jīng)濟新聞》記者分析說，360的發(fā)展路徑，即從360軟件產(chǎn)品底層技術構架開始，埋下不同于所有互聯(lián)網(wǎng)公司發(fā)展的“癌變基因”，然后，此“癌變基因”通過浸潤，向操作環(huán)境領域發(fā)展，再向工具軟件、游戲平臺發(fā)展，最終進入真正的互聯(lián)網(wǎng)領域——導航、搜索、電商網(wǎng)站，以及電商網(wǎng)銀體系等。

 

    

 

 

 

    360綠色網(wǎng)站的安全謊言：“偷梁換柱”浸潤電商網(wǎng)銀安全體系/

 

    2月6日，360官網(wǎng)上一條“網(wǎng)購首選，3億用戶的共同選擇”的廣告悄然上線。打開這條廣告鏈接，以“網(wǎng)購安全”為主題的新款“360安全瀏覽器”赫然在目。

 

    據(jù)《每日經(jīng)濟新聞》記者獲得的360內(nèi)部信息，360將借今年的“3·15”活動，大力推動與國內(nèi)電商企業(yè)的合作，以將360安全瀏覽器植入電商領域。這則推廣廣告，正是這一步驟的前奏曲。

 

    據(jù)記者調(diào)查，360兩年前開始布局電子商務安全領域，其最先打出的“安全產(chǎn)品”是“網(wǎng)銀無憂”、“地點 欄銘牌”，即360瀏覽器主推的“綠色網(wǎng)站認證”。

 

    360向人們傳遞的信息是，“360綠色網(wǎng)站認證”可以確保用戶使用網(wǎng)銀以及電子商務交易安全。

 

    眾所周知，電子商務的交易安全，尤其是網(wǎng)銀，一直是網(wǎng)民、乃至整個社會焦點關注的問題之一。歐美、日本等國家的網(wǎng)銀安全體系非常復雜與發(fā)達，而國內(nèi)的網(wǎng)銀體系，也是在小心設想、小心求證的前提下，一步步地展開。

 

    那么，360是否真的具備這個能力——取代網(wǎng)銀服務提供者身份驗證體系，由自身來充當網(wǎng)銀“保鏢”呢？

 

    獨立調(diào)查員懷疑360公司是否具備這個能力。于是，他進行了如下實驗，以了解360綠色網(wǎng)站認證機制：

 

    在本機模擬，將招行網(wǎng)銀域名劫持到IP為50.63.127.126(xliar.com)的網(wǎng)站，并在目標服務器上構建相應目錄體系和登錄頁文件，然后使用360安全瀏覽器訪問招行大眾版登錄頁，從而進入偽裝的招行網(wǎng)銀頁面。

 

    360網(wǎng)購保鏢自動檢測招行運行環(huán)境，幾秒鐘后完成檢測，報告“本次檢測未發(fā)現(xiàn)風險，現(xiàn)在可以放心網(wǎng)購了！”

 

    此時瀏覽器地點 欄銘牌顯示為“招商銀行”，點擊后彈出“通過綠色網(wǎng)站認證”，披著“招行網(wǎng)銀”外衣的劫持網(wǎng)址，即被360認證為招行官方網(wǎng)站。

 

    而同樣的操作，使用IE瀏覽器訪問時，IE瀏覽器地點 欄則會以非常顯眼的方式告知用戶“（網(wǎng)站數(shù)字）證書錯誤”，點擊錯誤信息可知，該網(wǎng)站證書不屬于招商銀行網(wǎng)站。

 

    事實上，用國際主流的瀏覽器均會彈出類似的錯誤提醒警示，用戶收到信息后自然會停止交易、避免損失。

 

    這意味著，如果一家詐騙網(wǎng)站通過域名劫持招商銀行網(wǎng)站，所謂的“360綠色網(wǎng)站認證”并不能有效執(zhí)行網(wǎng)銀保鏢的辨識功能，進行安全認證。

 

    360安全瀏覽器的安全檢查能力為什么會如此之低呢？

 

    據(jù)《每日經(jīng)濟新聞》記者了解，目前國際主流的認證機構為VeriSign，包括中國工商銀行、中國建設銀行、中國銀行、中國農(nóng)業(yè)銀行均采用該機構認證。招商銀行網(wǎng)頁所顯示的，也正是該機構的認證，這也作為網(wǎng)上銀行安全的基本保證而得到公認。

 

    而獨立調(diào)查員演示的證據(jù)顯示，360瀏覽器直接屏蔽認證機構VeriSign基于加密體系的可信認證，將其替換成了360綠色網(wǎng)站認證。

 

    獨立調(diào)查員提醒網(wǎng)購者，應信任銀行網(wǎng)站自身的安全證書，并在整個交易過程中關注地點 欄域名和安全證書中的域名是否一致，以及其根域名是否與官方域名一致，切勿輕易信任和依賴360的“綠色網(wǎng)站認證”。

 

    獨立調(diào)查員認為，這又是另一起360“破壞性創(chuàng)新”的典型案例：“一點技術含量也沒有的網(wǎng)站身份認證，竟然可以公然取代國際上通行的網(wǎng)上銀行安全認證體系。這就是360的非創(chuàng)新型破壞。”

 

    然而，對于類似公然挑釁國際準則的行為，為什么監(jiān)管部門可以坐視不管呢？

 

    可以預想的是，一旦360大規(guī)模啟動“各大電商推薦安全購物使用360瀏覽器”活動，人們的網(wǎng)上購物均要依賴于“360綠色網(wǎng)站認證”，360收獲的將是又一次360式“癌性擴張”，而中國的網(wǎng)銀體系又將會面臨怎樣的可怕變局？

 

    移動圈地：“非創(chuàng)新型”破壞或止步于蘋果？/

 

    在360的2012年年會上，360董事長周鴻祎對員工指出：“我認為未來兩年將決定整個無線互聯(lián)網(wǎng)的市場格局……在過去的一年，360手機衛(wèi)士用戶量突破2億，360手機助手的用戶量也突破了1億，成為360在無線互聯(lián)網(wǎng)上的兩個支柱。但兩根柱子支撐不了一個房子，我希望各個團隊在2013年會有新的產(chǎn)品能夠脫穎而出，包括很多PC的產(chǎn)品也可以尋找在無線上的發(fā)展機會。很簡單，未來不會再有無線互聯(lián)網(wǎng)公司了，因為每個公司都必須是基于無線互聯(lián)網(wǎng)的；也不會有PC產(chǎn)品部、無線產(chǎn)品部的區(qū)分，因為以后所有產(chǎn)品都會在PC和移動終端上打通，而沒有無線互聯(lián)網(wǎng)策略和產(chǎn)品的公司將會被淘汰。”

 

    這段講話基本上代表了360近期在移動端發(fā)展與布局的方向。

 

    在移動端，360是否會重復使用“癌性擴張”的方式來圈地呢？

 

    《每日經(jīng)濟新聞》記者在調(diào)查中發(fā)現(xiàn)，無論是微博還是公開的 論壇 ，皆有不少用戶曝光了360的一些“作惡”行為，大多包括以下內(nèi)容：在智能手機通過USB接入電腦充電或同步數(shù)據(jù)時，360彈出手機助手的提示，不經(jīng)意中安裝360的其他產(chǎn)品，甚至裝上360的產(chǎn)品之后，其他非360的應用會莫名其妙地“被卸載”。

 

    這也意味著，在移動端的圈地運動中，360依然在復制其PC領域的“癌式擴張”做法：除了做安全產(chǎn)品外，自身同時開發(fā)了全系列的手機軟件，然后重新演繹一遍其在PC端的玩法。

 

    據(jù)《每日經(jīng)濟新聞》記者掌握的一份來自某互聯(lián)網(wǎng)工程師的爆料，包括360手機衛(wèi)士、360手機通訊錄、360手機瀏覽器等系列產(chǎn)品存在明文上傳用戶隱私數(shù)據(jù)。上述爆料人提供的證據(jù)指出，在機場、咖啡廳，手機用戶使用WiFi上網(wǎng)時，只要登錄360手機衛(wèi)士及360手機通訊錄，或者進行云備份或云恢復，用戶名（手機號）、手機IMEI碼和密碼等高度敏感信息就會通過請求網(wǎng)址明文傳輸，有了這些身份鑒別信息，可以使用任何瀏覽器從360通訊錄服務器tongxunlu.#的非安全通道直接下載用戶云備份的通訊錄等隱私。

 

    這也意味著第三方可以輕松竊取360用戶登錄各個網(wǎng)站的密碼MD5信息和手機號，進而可以獲取用戶包括短信、彩信、通訊錄、通訊記錄等所有相關隱私數(shù)據(jù)，而且還可以篡改并進行釣魚。

 

    對此，獨立調(diào)查員進行了相應復檢，發(fā)現(xiàn)含高度敏感信息的請求網(wǎng)址的參數(shù)部分，僅以BASE64編碼（可簡單解碼，與明文無異），而用戶密碼雖然經(jīng)過MD5加密、但是可直接用于登錄，且對客戶端合法性沒有任何校驗。獨立調(diào)查員向《每日經(jīng)濟新聞》記者說，請求網(wǎng)址極易被非法攔截，在網(wǎng)址中明文夾帶傳輸高度敏感信息，以及使用非安全通道下載用戶隱私數(shù)據(jù)，等于把手機用戶隱私暴露在陽光下。