关闭

绑定手机号

应国家法规对于账号实名的要求,请您在进行下一步操作前,需要先完成手机绑定 (若绑定失败,请重新登录绑定)。了解更多

不绑定绑定手机号

360官网 | 会员商城 | 360手机官网 | 社区客户端

推荐论坛版块活动众测会员商城积分商城
本帖最后由 360_NING_001 于 2013-1-29 16:16 编辑

1月28日,360安全中心发布公告称,发现百度凤巢正在推广一款名为Baidu.Medusa的“偷拍插件”。它在未作任何提示、未经用户允许的情况下,暗中对用户电脑屏幕截图,并把图片上传到百度服务器。此前,只有木马和间谍软件才会偷拍屏幕截图,大众商业软件中百度“偷拍插件”在全球都是首例。

360安全中心发现,百度对其插件注册名称为Baidu.Medusa(美杜莎,希腊神话中丑陋的毒蛇女妖)。一旦用户电脑安装该插件,百度能够轻易判断出用户正在使用哪款浏览器上网,再专门针对360浏览器进行不兼容提示。

据工程师分析,百度“美杜莎偷拍插件”会采集用户系统信息,包括电脑的CPU信息、磁盘序列号、网络地址和网卡信息、当前所有进程列表和浏览器进程名,并在用户登录百度凤巢时对电脑屏幕截图,再将这些信息一并上传到百度服务器上,以此识别和封杀360浏览器,甚至利用这些信息向用户推送“精准广告”。

调查发现,百度“美杜莎插件”推广目前只针对二三线城市,避开了监管部门和媒体集中的北上广区域。在北京只有使用外地的网络代理,才能重现百度“美杜莎插件”的行为。360安全中心已对上述情况进行公证。

百度“美杜莎偷拍插件”技术分析

美杜莎是百度对其“偷拍插件”自己定义的名称。它的原理是,百度插件上传用户屏幕截图等信息,由服务端判断用户正在使用哪款浏览器,从而挟持百度凤巢客户资源针对360浏览器进行不兼容提示。

“美杜莎”分为网页脚本、客户端和服务端三个部分,三者交互完成密码加密和浏览器检测“二选一”目的。

百度“偷拍插件”系统结构和实现

当用户访问开启了“美杜莎”计划的百度凤巢(北京测试时需要外地代理),网站会先通过加载指定的JS脚本,弹出对话框要求用户安装插件。在用户安装完成后,用户登录界面上密码框会变为输入控件的输入框,如图:

该插件会通过特殊方式获得用户输入的密码,加密后计算一个加密的密码,在用户选择登录时:

首先会发送一个握手请求给服务端,包括插件的版本号等,请求获取一个SID(Token),服务端若判断插件有更新,则会返回需要更新,由网页脚本弹出对话框提示:“控件已经更新,请重新下载安装!”

接着网页JS脚本会调用控件的接口: sendEnvironmentInfo,收集当前用户的环境信息并发送给服务端,这是独立于当前网站的一个收集和判定系统,由百度客户端插件收集以下信息:
用户的CPU信息
用户的磁盘序列号
用户的网络IP地址、MAC地址和网关信息
用户网络DNS信息
用户的当前浏览器进程名称信息
用户当前启动的所有程序的进程名称信息
用户当前电脑屏幕的图像截图

除了屏幕截图外,其它信息都使用AES加密算法进行了加密。百度将全部这些信息打包编码到一个数据包后,会通过加密的HTTP传输协议上传到百度的服务器:https://isafe.baidu.com/cinfo,百度服务端解密后看到的数据如下:

偷拍插件采集数据上传后,百度服务端程序会对上传的数据做判定,然后给控件返回一个状态码,网页脚本通过控件的getLastErrorCode接口获取到这个状态码。当服务端程序通过进程信息或截图判定用户正在使用360浏览器,则返回-3这个状态码。

网页脚本判断如果返回的状态码是-3,那么就调用控件的getSendbackMessage接口,目的是获得百度服务端返回的一段文字,并弹出对话框提示用户更换其他浏览器。

在这个过程中,上传信息判定是由百度云端决定的,弹框的文字也是由云端发送的,关键逻辑都由云控。

由于上传信息非常丰富,因此百度云端判断相当灵活,不仅可以针对360浏览器不兼容,还可以针对系统中其他任何软件做不兼容提示,提示文字也是完全云控、可随时变化的,同时还可以随时在服务端配置升级,要求用户更新插件,以便应用新的信息采集和对抗策略。

百度“偷拍插件”技术原理

npBaiduSafeInput.dll控件的关键在于sendEnvironmentInfo这个函数,它首先收集信息,收集的信息包括cinfo\bmp两个字段。

cinfo字段包括了除了截屏之外的其它系统信息,是一个简单的key-value结构数据,使用AES加密算法进行了加密,然后编码为ASCII-HEX后,保存在数据包的cinfo字段中。

获取cinfo.processlist字段系统进程列表信息使用的API是ToolHelp32 系列API,通过对比当前进程Pid,在进程列表中筛选出当前浏览器进程名并保存为cinfo.currentprocess字段。

截屏数据则通过GetDIBits截取屏幕指定区域的图像并保存为BMP数据,编码为ASCII-HEX后,保存在bmp字段。

这些数据再加上之前获取的sid数据,和计算整个数据包的md5数据,拼接成具有4个字段的数据包,通过WinHttp接口发送加密的HTTPS数据到http://isafe.baidu.com/cinfo这个百度服务器地址上。

综上,百度用于判定用户软件使用情况的数据有:当前进程、进程列表和屏幕截图。以下为几处代码分析:

1、百度“偷拍插件”通过GetDIBits对用户电脑屏幕截图:

2、把截取的BMP数据编码后发送到百度服务器:

3、抓取用户的Cpu、磁盘序列号、ip地址、mac信息、网关信息、DNS信息和所有进程列表上传:

4、网页脚本根据百度服务端返回的状态码弹出相应提示,怎样提示完全由服务端控制:

共 39 个关于全球首款“偷拍插件”曝光 偷偷上传用户屏幕截图的回复 最后回复于 2016-4-17 11:28

评论

直达楼层

360_金鑫 LV9.中校 发表于 2013-1-27 15:25 | | 私信
二选一的行为违反了工信部的第二十号令,也违背互联网平等、开放、共享的精神,我们已向有关部门反映此事。
mf530 LV4.上士 发表于 2013-1-27 15:32 | | 私信
支持
fdgz22 LV6.中尉 发表于 2013-1-27 15:50 | | 私信
本帖最后由 fdgz22 于 2013-1-27 15:52 编辑
360违反robots,baidu不也私自截图了吗?谁屁股一定比谁干净?

这种时候,
石文昌,诸葛建伟之流
咋不蹦出来了呢?
北京工商局,山东卫视
咋不吭声了呢?

这些人除了一学习中央文件精神,二以偏盖全抹黑360,还有第三件事可做吗?
咋不看到360这些年为中国互联网安全做的贡献呢?
liuhq518 LV4.上士 发表于 2013-1-27 15:56 | | 私信
不知道有没有人用视频录下了证据,给个网址?
干死百度,恶心的畜生!
dzouyi LV1.上等兵 发表于 2013-1-27 16:12 | | 私信
证据不大好找啊?!
liuhq518 LV4.上士 发表于 2013-1-27 16:13 | | 私信
fdgz22 发表于 2013-1-27 15:50
360违反robots,baidu不也私自截图了吗?谁屁股一定比谁干净?

这种时候,

政府很,哪有时间处理这种“小事情”


wcg2013256 LV5.少尉 发表于 2013-1-27 16:50 | | 私信
没有安装360浏览器,360卫士就平均10天弹一次窗,安装了的用户就没有被弹过,请问这是什么原理呀?
uv5566 LV5.少尉 发表于 2013-1-27 17:59 | | 私信
百度不要脸。
华夏之子2013 游客 发表于 2013-2-20 08:39 | | 私信
现在用360 的浏览器不能登录百度推广后台,要是需要的话,可以为360提供相关证据
墓碑上的字 LV3.中士 发表于 2013-2-27 14:19 | | 私信
现在,没有安全登陆选项了,不安装不让登陆百度推广, QQ截图20130227141645.jpg
13459838958 LV2.下士 发表于 2014-1-30 15:46 | | 私信
貌似图片死了
pppooo137 LV2.下士 发表于 2014-4-1 10:10 | | 私信
其实吧。谁jiba也表说谁。你们扪心自问谁没有监视过客户的隐私?
天才詹荣瑞 游客 发表于 2014-4-4 19:48 | | 私信
百度越来越缺德了,但是我咋登陆啊
天才詹荣瑞 游客 发表于 2014-4-4 19:53 | | 私信
以百度为首的一对常用软件都会自动下软件(一边都下百度杀毒)
青青豆导航 LV1.上等兵 发表于 2014-5-17 19:08 | | 私信
是那么的黑啊。。
任琳清 LV4.上士 发表于 2014-5-19 14:37 | | 私信
支持360哈哈
xinxi_n123456 LV1.上等兵 发表于 2014-7-4 13:20 | | 私信
360再屏蔽将你卸载了,都用百度杀毒就不会被屏蔽了,国家还有部门每时每刻查我们的聊天记录隐私呢,你咋不屏蔽QQ
xinxi_n123456 LV1.上等兵 发表于 2014-7-4 13:25 | | 私信
特讨厌360这点,截屏怎么了,难道QQ没有被截屏,我不信,360没有统计过客户IP和地域吗?支持百度!好不容易将谷歌打跑了又窝里斗,整天就会窝里斗,有本事提高性能
睿控电气火灾 LV2.下士 发表于 2014-7-11 21:51 | | 私信
xinxi_n123456 发表于 2014-7-4 13:25
特讨厌360这点,截屏怎么了,难道QQ没有被截屏,我不信,360没有统计过客户IP和地域吗?支持百度!好不容易 ...

2B青年,你以为是百度打跑谷歌的,当初有谷歌,百度只能服务网民,现在百度都在坑网民。。。
Teddy_Li LV2.下士 发表于 2014-7-25 09:08 | | 私信
草你大爷的!你们斗来斗去的最终是我们客户最受伤!麻痹的!我现在也是不安装百度浏览器 就登录不了百度推广!什么世道!这样强加有什么用?不得民心呀!更让人伤心!
zyq282739624 LV2.下士 发表于 2014-8-7 10:41 | | 私信
大家分析下百度竞价胡乱扣费 百度胡乱扣费.jpg
zyq282739624 LV2.下士 发表于 2014-8-7 10:42 | | 私信
我设置4元,他妈的点击一次扣费10元多,真是坑爹!
zyq282739624 LV2.下士 发表于 2014-8-7 10:49 | | 私信
垃圾百度建议我安装百度浏览器才能进后台,说360浏览器不兼容,真是太无赖了!人家360在国家有困难时,如汶川大地震,还有最近的云南鲁甸地震,慷慨捐款几百万。而垃圾百度呢,一天竞价收入上千万,没见它捐献一毛钱!这种企业国人还支持他干嘛,建议大家使用360浏览器、搜索引擎、360竞价推广!慢慢抛弃垃圾百度产品!
QQ717503402 LV3.中士 发表于 2014-8-11 01:17 | | 私信
sb360 SB baidu ...........正好一对
金牌6哥 LV2.下士 发表于 2014-8-13 11:16 | | 私信
爱恨有泪 LV4.上士 发表于 2014-10-11 14:04 | | 私信
支持
侠火影视 LV2.下士 发表于 2014-11-13 22:41 | | 私信
这么久了,没见解决呢
玫瑰花雨 版主 发表于 2014-11-14 08:57 | | 私信
无耻的百度
請別放開手 LV6.中尉 发表于 2014-11-14 10:56 来自360社区WAP端 | | 私信
啦啦啦,啦啦啦,我是卖报的小行家!

360_NING_001 LV6.中尉

粉丝:9 关注:0 积分:3868

精华:1 金币:7535 经验:3248

最后登录时间:2019-11-08

私信 加好友

最新活动

晒图赢好礼活动

排行榜

热度排行 查看排行
今日 本周 本月 全部
    今日 本周 本月 全部

      内容推荐 热门推荐最新主帖

        关注360粉丝团,回复:抽奖,每周抽一个锦鲤大奖,等啥呢?扫它!!!

        快速回复 返回顶部 返回列表