浮掠: 美国大学研究发现“绿坝”能过滤政治敏感词

图：用户可以设定哪些类别的网站被绿坝过滤。

密歇根大学的研究人员发现，中国当局强制要求安装的“绿坝-花季护航”过滤软件存在安全漏洞，恶意网站可藉此窃取私人信息或是安装代码。并且绿坝过滤的不只色情内容，还包括中国当局认为的政治敏感信息。研究人员建议用户为了保护自己立即卸载绿坝软件。

密歇根大学的Scott Wolchok、Randy Yao和J Alex Halderman11日联合发布的研究报告（http://www.cse.umich.edu/~jhalderm/pub/gd/）称：

我们检查了绿坝软件，发现它包含由于编程错误导致的严重的安全漏洞。一旦安装绿坝后，用户访问的网站，可以充分利用这些漏洞来控制电脑。这可能允许恶意网站窃取个人资料，发送垃圾邮件，甚至成为一个僵尸网络的计算机("肉鸡")。此外，我们发现绿坝黑名单的更新的方式存在漏洞，可以让软件制造商或其他人在更新过程中安装恶意代码。

这些暴露的问题，仅仅是不到12小时的测试结果，我们认为它们可能只是冰山一角。绿坝软件中频繁应用不安全和过时的编程方法，可能引起许多其他漏洞。纠正这些问题需要大量的修改，并且仔细地重新测试。同时，我们建议用户为了保护自己立即卸载绿坝软件。

……

文字过滤:绿坝扫描各种应用软件中的文字输入封锁内容，包括猥亵的和政治上敏感的词组（例如，法L功）。列为黑名单的条目被放置在三个文件中，使用了一个简单的非密钥式扰码处理。我们破译了这三个文件的内容：xwordl.dat, xwordm.dat和xwordh.dat。我们还发现未加密文件FalunWord.lib似乎是一个供更复杂的语句处理算法使用的单词列表。当绿坝检测到这些词汇时，违反规定的程序会被强行关闭，并弹出一个错误的消息（如上图所示）。

……

如果以当前的形式部署绿坝软件，这将大大削弱中国的计算机安全。虽然我们发现的漏洞可以迅速地修复，但是想修复所有问题可能会需要大量的修改和全面的测试。这意味着从7月1日开始全国范围内部署绿坝将难以实现。