360“拦截”,是误会,已在协商并督促改进产品
远程控制
近日,有用户发现“ 灰鸽子远程管理系统”疑似被360安全卫士拦截,灰鸽子产品官方对此现象高度重视,紧急排查,在确认产品本身没有问题之后,发布如下声明: 21年4月23号,我公司产品“灰鸽子远程管理系统”被360公司“拦截”,产品出现蓝色提醒如下图。并积极联系360公司协商,请广大用户不需要担心。这至少是善意提醒,允许之后整个过程没有任何拦截,安装后也不存在清理现象。只是“拦截”所配图片会让用户感觉有威胁性。误以为被拦截或不安全。实属误会,目前还在进一步沟通中。
灰鸽子是著名的企业安全产品,主打企业反泄密、信息安全审计。同时支持远程管理,是实名制产品,简单易用。针对这次拦截,我公司得到的消息并不多。4月24日得到回复,说我公司产品标识号:_XX8554.exe被人处理成带有“股票“、”期货“、”通达信金牌会员选股指标.exe “等文件名称通过即时通讯工具传播远控木马。(md5: 798826b4910ead3175fd7f637cb20f8b)
我公司对此高度重视,并在第一时间与公安部门报备。
针对本次事件,我公司从两个方面做了调查。
1、客户装机后是否有托盘图标。
2、客户产品篡改员工端的可能性。
调查结果如下:
一:经我公司调查,标识号:_XX8554.exe 是一普通客户,并非企业,其产品需要手动隐藏托盘图标。我公司一直遵循360公司要求:首次保留托盘图标。故,该用户有托盘图标。就算被恶意安装,但用户知晓,原则上产品就算被客户恶意装机,也不可能做实际的恶意使用。
二:360公司有白名单机制,我公司所有产品都覆盖有微软双签名,类似软件的身份证,一旦产品被其他文件有恶意利用,360会立刻感知产品被劫持。而且我公司企业安全产品更是包含驱动,就算不被报毒,在安装时就会多次黄色拦截进行提醒。故,就算被恶意安装,360也是要拦截的。而篡改文件就算实现自动隐藏,则产品签名和360白名单一起丢失,会完全会失去360保护,不止会报毒或拦截,还会关闭和清理。
考虑到上述情况,我公司认为,产品可能是被恶意处理成“木马”乱发,被用户不知情的情况下安装,此时电脑内360连续提示拦截提醒,用户被吓到后立即阻止安装,但桌面右下角最终还是出现了“灰鸽子远程管理系统员工端”托盘图标。此时用户以为“木马”可以反360拦截,岂不知产品已经成为废品,所以到处投诉举报。针对此情况,我公司决定做如下改进:
1、目前个人远程控制产品并不包含过多企业安全功能(只能反泄密,不能做安全审计),企业用户人为审核,个人客户未来不再提供密码防卸托盘功能。将启动强制升级,避免再次发生无法卸载的情况。
2、考虑静默安装参数被人处理成”木马”,我们会改变静默参数,确保先预装再批量装机,从根本上解决恶意静默处理。
3、将默认提供一键安装,可更换版权,避免产品被个人客户恶意装机。同时进行版权审核,防止恶意处理版权问题发生。
即:未来个人产品和企业产品是完全分家的,本以为预留托盘图标也可以给个人做远程控制使用,如此看来,我们愿意针对不同客户细化产品功能。灰鸽子比起360这种大型公司来说还是小公司,望看在产品比以前进步很多的情况下尽快解除拦截,且而对此事件,还望广大用户和360公司共同监督,积极举报网络违法犯罪,完善网络环境。
|