11月12日,我国信息安全领域的权威测试机构--中国信息安全测评中心公布了对360扣扣保镖(版本号v1.0.0.1005 )的检测报告。检测结果显示,未发现360扣扣保镖存在明显可被利用的脆弱性,未发现扣扣保镖存在自我复制行为,未发现扣扣保镖有不正常的向服务器发送数据的行为,等等。多位专家认为,检测报告证实了360扣扣保镖不是木马病毒,也不存在所谓"后门"和窃取用户隐私、复制QQ好友信息的行为。
测试报告公布后,重庆大学软件学院向宏教授表示:360扣扣保镖(版本号v1.0.0.1005 )不具备计算机病毒或间谍软件的两个最主要特征,一是对用户计算机及其数据产生破坏性作用,二是进行自我复制,或未经用户允许擅自上传用户信息。向宏教授认为,从用户角度来讲,360扣扣保镖实际上是增加了方便性和安全性。
北京邮电大学信息安全中心副教授辛阳表示:360扣扣保镖是用户主动安装、主动使用的软件,没有任何自我复制感染和破坏计算机功能数据的行为,显然不是病毒;扣扣保镖没有访问存放用户信息的users目录,因此不存在复制QQ好友信息、窃取QQ账号密码和聊天记录的可能;扣扣保镖不存在允许秘密访问用户计算机资源的程序或模块,不具备通过服务器端控制绕过用户电脑中安全性控制的可能,不符合木马和后门的定义;扣扣保镖的功能均由用户主动选择开启,未完成的功能经修改强行开启后也均有明确的提示,不具备隐蔽性。
前中国开源软件推进联盟(OSS)副秘书长、著名计算机专家袁萌教授认为:360扣扣保镖的功能都有详细说明,且开启必须经过用户手工操作,即用户知情、可选择。从这一点来说,扣扣保镖就是一个辅助用户使用QQ的工具,其角色比较接近Windows优化大师之于Windows。
根据《中华人民共和国计算机信息安全保护条例》,病毒是指"编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码"。360公司总裁齐向东表示:"测试报告清楚地表明,360扣扣保镖不具备病毒的任何特点,所谓扣扣保镖是一种能够'感染2000万用户'的'超级病毒'的说法,显然是毫无根据和不负责任的。目前,我们已按照工信部等部委要求,以大局为重,先退一步,召回了扣扣保镖,但这并不等于扣扣保镖的产品存在法律问题。"
据悉,中国信息安全测评中心的检测非常严谨,耗时较长,考虑到360扣扣保镖下载量最大的是v1.0.0.1005版,占据了该产品下载量的90%以上,因此中国信息安全测评中心首先检测了该版本。目前,360扣扣保镖的其他版本(与1005版差异极小)正在抓紧检测中,相应测试报告结论也将陆续公布。
附:
中国信息安全测评中心针对360扣扣保镖测试报告中的完整测试结论(PDF):
http://www.360.cn/docs/20101112/minireport.pdf
中国信息安全测评中心针对360扣扣保镖测试报告中的简要结论(PDF):
http://www.360.cn/docs/20101112/minireport.pdf
关于中国信息安全测评中心
中国信息安全测评中心(以下简称测评中心)是我国专门从事信息技术安全测试和风险评估的权威职能机构。依据中央授权,测评中心的主要职能包括:负责信息技术产品和系统的安全漏洞分析与信息通报;负责党政机关信息网络、重要信息系统的安全风险评估;开展信息技术产品、系统和工程建设的安全性测试与评估;开展信息安全服务和专业人员的能力评估与资质审核;从事信息安全测试评估的理论研究、技术研发、标准研制等。
测评中心是国家信息安全保障体系中的重要基础设施之一,在国家专项投入的支持下,拥有国内一流的信息安全漏洞分析资源和测试评估技术装备;建有漏洞基础研究、应用软件安全、产品安全检测、系统隐患分析和测评装备研发等多个专业性技术实验室;具有专门面向党政机关、基础信息网络和重要信息系统开展风险评估的国家专控队伍。
测评中心自1997年创立以来,依照国家法律法规,在信息安全领域为国家提供技术保障,向社会提供公共服务。累计完成600多种产品、130多个网络信息系统和2000余名专业人员的安全测评;长期为20多个部委和10多个重要信息系统进行风险评估。同时,承担国家863、973、自然科学基金和国家标准研制等科研项目100余项,多项科研成果获得国家、部委级科技进步奖,研制的数十项技术标准已作为国家标准正式发布实施。
