流氓软件又添新贵，支付宝闪亮加盟用户无语

    不管你是IT明星还是犄角旮旯的甲虫，“流氓”的封号一视同仁。最近笔者发现号称以“信任”作为产品与服务核心，以安全、诚信赢得了用户和业界的一致好评的支付宝，居然也耍起流氓来了，这不得不说是一种讽刺。在“流氓”渐渐泛滥如网海黑潮的今天，我们还应该信任谁?作为弱势群体的网民，愤怒还可以压抑多久?

    何谓流氓软件?查一下WIKI对流氓软件的解释：流氓软件是中国对网络上散播的符合如下条件(主要是第一条)的软件的一种称呼：

1、采用多种社会和技术手段，强行或者秘密安装，并抵制卸载;

2、强行修改用户软件设置，如浏览器主页，软件自动启动选项，安全选项; 强行弹出广告，或者其他干扰用户占用系统资源行为;

3、有侵害用户信息和财产安全的潜在因素或者隐患;

4、未经用户许可，或者利用用户疏忽,或者利用用户缺乏相关知识，秘密收集用户个人信息、秘密和隐私。

支付宝到底是如何耍流氓的呢?笔者最近新装了操作系统和杀毒软件，卡巴就不停的弹出窗口。卡巴2009一直提示键盘记录器活动(alidevice)，一分钟三次。如下图：

    那么，alidevice到底是个什么东西?百度上搜了一下，发现很多人都有碰见这个问题。

    简单的说，alidevice就是支付宝控件，每一个支付宝用户的机器里都100%会存在这个控件。再严格一点讲，这就是键盘记录Keylogger，它是用来记录键盘活动的，也就是说，你的键盘活动全在它的监听之下，并且随系统启动(注意：不是随支付宝启动，是随系统启动的)，时时刻刻都有一个让你感觉十分不安全的曾经做过流氓软件大流氓的这么一个团队用非常流氓的手段给你的系统装上了一个非常可怕让你浑身发毛的Keylogger在记录你的键盘活动。并且，最流氓的是“它”不能卸载!!!删掉Alidevice.sys后，键盘鼠标就都不能使用了。

    我们看看来自官方的说明“安全控件的作用是防止木马及病毒盗窃用户的密码，因此在代码和行为特征上容易被杀毒软件误报。”是的，我们是需要保护，但是我们好像并不需要这种非常中国流氓软件特色的随系统启动。一个网页上的ActiveX 控件居然私自加载设备过滤驱动程序。这是什么行为，是什么逻辑?卸载还卸载不掉，删了你键盘鼠标就失灵。在安装控件的时候，支付宝并没有告诉我们它会放一个Keylogger在我们的系统里，同时加载设备过滤程序。

    而且在支付宝社区论坛上大家询问，小二的回复一堆废话，其中最接近解决问题的方法居然是:

QUOTE:

    将您电脑上安装的雅虎助手等拦截功能暂时关闭，暂时关闭防火墙，卸载卡巴斯基、木马清道夫等。

    对这个官方回复彻底无语

    关键问题在于，在没有使用支付宝时，用户输入其他网银密码等行为的键盘行为是否也被其记录，记录下来要干什么??

来自网友的反馈：

http://hi.baidu.com/suyuwen1/blog/item/08209350beb23065853524f5.html　

alidevice-淘宝流氓插件

    2009年02月15日 星期日 下午 09:03

    把两台机器都重装完毕并且更新完成后，卡巴2009一直提示键盘记录器活动(alidevice)，一分钟三次，为了方便，只好加到信任区域。(要是不添加到信任区域，后果有两个，第一，系统会有点卡，一天被监听记录上万次，记录日志里就会有上万条，可疑程序提示就不停的冒出来。第二，会越来越对支付宝的流氓行为产生愤恨，演变成愤愤不平影响个人生活得不偿失。)

    【电话联系了支付宝客服MM，说是支付宝官方发布的软件,如果删掉的话，机器会崩溃。但没有提供技术细节，但是有关此虚拟设备驱动的功能是什么?如何安装上去的?如何卸载? 为什么要以内核态的形式强制安装运行?为什么一旦安装就不可删除?如果没有这些信息，让人感觉很不放心。为什么要在客户的机器上安装此键盘驱动?而且在不登录支付宝时，没运行阿里淘宝旺旺任何程序的时候，也需要运行?能否让用户能够自行控制此程序的运行或者停止?】

    【我也中招了，感觉很不爽，刚才给支付宝客服投诉了。看到这里的很多网友都觉得无所谓，其实我要说这是个很严重的问题，你想想你每天的所有键盘输入都被这个控件监视着，说不定还记录下来传回去分析，包括你上过什么网站，搜索过什么内容，写过什么文档...... 那你的一切隐私不是都曝光出来了吗? 更加可怕的是，如果你用了网上银行，访问过电子邮箱，玩过网络游戏--- 那这些帐号和密码，支付宝统统都有办法知道。虽然我相信阿里巴巴还没有流氓到利用这些信息犯罪的程度，但至少这些信息的外传会使你置于极大的风险之中。看了这些，你还认为是无所谓吗? 】

    【在不使用支付宝的情况下，随系统启动加载，接管客户的原键鼠驱动，随时记录客户的键盘情况这本身就不道德。按装控件时声称是安全控件，实际上记录客户键盘更不安全。尤其是在大多数时间电脑根本没使用支付宝的情况下，其他的网络活动和键盘活动一并被记录了，而这些信息根本与支付宝无关。随系统启动加载，并且无法卸载，卸载造成系统崩溃这是典型的流氓软件行为。说因为这是支付宝的控件就应该添加到信任区域比较奇怪。要我明天取消支付宝户口不用了怎么办?这个控件是不可卸载的....!是不是要一直被记录下去?】