正在阅读：恶魔在身边！千千静听惊曝安全漏洞的警示恶魔在身边！千千静听惊曝安全漏洞的警示

　　有道是“假作真时真亦假，无为有处有还无”。愚人节当天，各大媒体充斥着不同的“爆炸性”新闻以娱乐大众，一些具有轰动效应的资讯反而被湮没在疯狂的“愚”乐气氛之中。愚人节刚过，相关的消息马上就为人们所关注。

　　点击查看“360安全中心：千千静听存在严重安全漏洞”

　　近两天来，令人震憾的业界新闻当属爆发在360安全中心与千千静听之间的“安全口水战”。由于这场战争关乎各自的品牌形象，因此双方都卯足全力，斗得不亦乐乎。

　　360安全中心剑指千千静听：

　　4月1日当天，360安全中心提醒用户注意知名播放器软件“千千静听”5.1.0版的网页播放功能存在的重大安全漏洞。该漏洞“正在被木马广泛利用”。360安全中心甚至还宣称“目前网上还有公开对外出售‘利用千千静听漏洞挂马服务’的‘演示文稿’”。

　　360安全中心的警告虽然有些危言耸听，但却言之凿凿，完全不像是在开愚人节的玩笑。千千静听立即在官方网站上发表声明，以“千千静听自带的MOD解码模块只能用来打开本地的MOD格式文件”为由反驳360安全中心发出的警告，并提供两个实例以证明千千静听网页控件的安全性。

图1 千千静听以严正声明驳斥360安全中心的言论

　　在千千静听发出“正式声明”以后，360安全中心仍然坚持既定判断，并认为对方混淆概念，回避问题，逃避责任。

　　360到处树敌，千千静听反应过度：

　　360安全中心和千千静听双方针锋相对，一方显示出咄咄逼人的姿态，一方则作“含冤莫雪”之状。我们暂不对个中实情妄下任何结论，因为时间才是最好的试金石。然而，双方对事件的反应却颇值得我们玩味一番。

　　360安全卫士近期动作频频，先正名——启用全数字域名“360.cn”，后独立——从奇虎剥离出来，以3.6亿风投资金独立运作；360安全卫士的官方网站也随之升级为360安全中心。

图2 360安全卫士动作频频，实现一系列升级

　　既称之为“安全中心”，则足见360安全卫士实现“平台化”的决心。目前，360系列产品包括360安全卫士、360保险箱、360ARP防火墙、360修复工具、360系统诊断工具、360时间保护器、360恶意网站屏蔽器、360网吧还原系统保护器和360文件粉碎工具等，范围涵盖了安全软件领域的细分市场，触角延伸至新兴的安全技术疆域。而其中，木马查杀是360安全卫士继剿杀“恶评软件”之后的另一个主打功能。

　　早在《“骑”虎难下，360安全卫士的梦境与困境》一文中，山伯便指出：360安全卫士想要实现持续发展，必须继续寻找恶意软件之外的“假想敌”。现在，360安全中心将矛头指向第三方软件的安全漏洞其实就是其“树敌”政策的进一步延伸。而实现“树敌”目标的捷径无疑是走一条“王朔式”的道路——拿明星产品开刀。于是，360安全中心便将矛头指向了微软的Excel、Acdsee还有千千静听……

图3 360安全中心以木马为敌，拿第三方软件开刀

　　与此同时，千千静听对360安全中心的漏洞警告所作的反应似乎有些过了头。毕竟360安全中心并非将千千静听划分为“恶意软件”的行列，而只是指出了千千静听软件中可能存在的安全隐患。这对于千千静听的产品形象并不会带来多大的负面影响，然而千千静听却指责360安全中心所谓的“报错警告”纯属“妄自揣测”，要求后者“立即纠正，以正视听”。此时此刻，千千静听该做的不是“得理不饶人”式地讨伐，而应该表现出“有则改之，无则加勉”的宽容心态。

　　播放器软件安全问题频传：

　　360安全中心与千千静听之争的意义不在于印证真理“越辩越明”的教条，而在于引起公众对第三方软件的安全性，特别是对于播放器软件的安全问题的关注。

　　Windows Media Player的数字版权签名特性可能会被病毒利用，名字有一个“暴”字的某播放器软件也曾带有恶意行为甚至被爆料称“留有后门”。RealNetworks的拳头产品RealPlayer此前也被由谷歌和联想等公司赞助的、旨在指导用户防范恶意软件的StopBadware组织归为“坏蛋”行列。

图4 RealPlayer被StopBadware归为“坏蛋”行列

　　被StopBadware列为“Badware”的既有RealPlayer 10.5，还包括RealPlayer 11。RealPlayer 10.5的“罪行”在于擅自安装广告软件，而RealPlayer 11的“恶意行径”则是自动安装Rhapsody Player Engine并且不随RealPlayer的卸载而删除。

　　恶魔在身边！立法工作刻不容缓：

　　互联网进入寻常百姓家，使流媒体播放与音视频共享成为最受网友欢迎的服务之一，随之兴起的各类播放器软件也成为了用户装机的“必备软件”之列。本以为请了贴身的娱乐天使，到最后却迎来“恶魔在身边”结局，这叫用户们情何以堪呢！

　　播放器软件的安全漏洞必须被高度重视，因此我们也应当赞赏360安全中心在这方面所作的努力。

图5 360安全中心的努力也值得赞赏

　　有一句话说：生活并不是缺乏美，而是缺乏发现美的眼光。同样的道理，软件并不是不存在安全漏洞，而只是发现安全漏洞的“眼光”还不够敏锐罢了。于是，光靠某安全软件厂商一家之力不定期向用户提出警告是远远不足以解决用户所面临的安全隐患的。还是那句话，道高一尺，魔高一丈——艺高人胆大的黑客的眼睛有时就比安全厂商还要“雪亮”。

　　解决利用安全漏洞传播木马、盗窃用户个人信息以牟取非法收入的问题不能仅停留在技术层面，而应该转化为法律手段。两年前轰轰烈烈的“反流氓软件行动”不就是以向国家立法部门“施压”为目标之一吗？于近日正式实施的《广东省计算机信息系统安全保护条例》产生的轰动效应不就在于法律、法规对网上恶意行为的干预吗？

图6 《广东省计算机信息系统安全保护条例》开始施行，产生轰动

　　法律手段与技术措施应该双管齐下，推动相关问题的更高层次的立法进程刻不容缓！