雅虎开发出一款可扫描所有用户邮件的工具？专为美国政府定制！

发布时间:2016-10-09 14:48 作者:孙毛毛编译来源:FreeBuf.COM 点击:加载中...次

雅虎最近大概是真的太想上安全行业头条了，前不久才宣布了5亿帐号泄露，这几天又惹上了大麻烦。路透社10月5日报道称，去年雅虎为美国政府定制了一款秘密工具，可以对上百万雅虎邮箱进行实时扫描，这样一来NSA或FBI就可以实时扫描每一个用户的邮件，搜索他们感兴趣的内容。而Motherboard最新的报道则指出，这还不仅仅只是个扫描工具。

　　雅虎为美国政府定制邮件扫描工具？

这次事件的曝光源于路透社收到的三条匿名线报，据说雅虎在2015年初收到了来自FBI或NSA的一份机密请求，要求雅虎为其定制一款可以特定词或短语在雅虎邮箱中搜索指定内容的软件。报道称，起初雅虎并不打算执行这一请求。不过雅虎自己的法律部门认为这可能造成更多的麻烦。所以在2015年5月，雅虎的CEO Marissa Mayer最终决定让公司的工程部来为政府定制这个实时邮件扫描工具。

　　“据知情人士透露，雅虎在去年定制了一个针对用户邮箱的秘密工具，这个软件可以扫描邮件的特定内容再提交给美国情报官员。”“共有三名原雅虎工作人员和一位在内部报告过此类事件的人都透露说：雅虎遵守了美国政府的机密要求，在美国国家安全局和FBI的要求下扫描了上百万的用户邮箱。”

这次事件一旦得到证实，如此大规模的邮件内容实时泄露可能也是第一次。在此之前，美国政府机构能够实时扫描并收集数据的邮箱只有很少一部分。这也再一次证明了之前斯诺登揭露的棱镜门事件的确就是美国政府最常用的手段：通过控制美国的一些IT巨头，让这些公司将用户信息拱手奉上。先前斯诺登泄露的文档就提到，雅虎正是参与棱镜项目的公司之一。

　　不仅只是个邮件扫描工具？

目前尚不清楚，美国情报机构具体是要在雅虎的邮箱中找什么，可能是利用这款工具在邮件内容或附件中搜索特定的“一段字句”。路透社在报道中提到，去年5月份，雅虎自己的安全团队在部署公司系统几周后发现了这个监控项目。团队一开始还以为是公司被黑客入侵了，后来才发现这个项目是在CEO的授权下进行的。

有关这款工具究竟是什么的问题，泰晤士报报道说它实际上是雅虎现有扫描系统的修改版本，能够对恶意程序、垃圾邮件、儿童色情图片等内容进行扫描。纽约时报则在报道中提到，某些有国家背景的恐怖组织会采用某种特定的通讯方式，而雅虎的这套系统可用来搜索包含这类通讯方式的电子“签名”的邮件。

不过Motherboard的消息源指出，这款工具绝不只是个扫描工具，而更像是个rootkit——能够深入到被感染的系统中，是个强有力的恶意程序。

Motherboard在报道中提到：“其中绝对包含雅虎邮箱原本不该有的东西，此后门实际上危害到了所有的雅虎用户。”这篇报道中还提及“某个不愿透露姓名，但比较了解该项目的线人”说，这款工具是雅虎邮箱服务器之上的一个“buggy”“rootkit”，是个“设计糟糕”的后门——黑客完全可以利用这款工具访问所有雅虎用户数据，甚至雅虎网络。

所以先前雅虎自己的安全团队才会误以为系统被黑客入侵。两名雅虎公司的前雇员甚至还透露道：“公司服从政府出卖用户信息的决定，直接导致了去年6月首席信息安全员Alex Stamos的离职。”

“Alex Stamos在发现这起事件之后不久就递交了辞呈，并且对下属表示不会参与到这种危害用户安全的项目中去。他认为黑客可以直接利用这个程序中的漏洞入侵雅虎的邮件库。”路透社报道称：“Stamos在辞职之后加入了Facebook，自始至终也没有提过自己跟雅虎的纠纷。”

可见这个项目的机密性，早前甚至是对雅虎安全团队保密的。

　　雅虎否认存在监控工具

NSA和FBI方面当然没有就此事件发表任何评论。不过在路透社报道了此次雅虎为美国政府定制邮件搜索工具几小时后，雅虎官方直接否认了这一指控：路透社的文章完全是误导，这样的工具从一开始就不存在。

雅虎在声明中提到：“雅虎公司在每次政府请求获取用户数据时，都会尽可能将数据的暴露程度降到最低。像这种自动搜索邮件内容的工具绝对不是我们公司的。”