來自FreeBuf.COM
作者:GEETEST極驗
如今這年頭,沒被運營商“上”過(劫持)都不好意思說自己是中國網民!這還是烏雲在2016年2月一句吐槽的話。兩年時間過去了,烏雲已不在,而中國網民依舊每日被運營商“上”……
上週有熱心的小夥伴向Magiccc反饋,點選“閱讀原文”發現極驗移動官網底部有不可描述的浮窗廣告,點選後跳出一篇小黃文。
這還得了!馬上找到“網管”紅姐,經過我的描述,紅姐還是一臉懵逼,但是聽到我說有小黃文,紅姐曖昧一笑,表示這個熱心小夥伴可能遭到了“流量劫持”……
運營商流量劫持示意圖
啥叫流量劫持,下麵這些場景大家一定會很熟悉:
刷微博,瀏覽新聞,下麵提示“領取紅包”、“真人侍寵”或一些大保健腎虧廣告;
下載某應用,無論是手機端還是 PC 端,下載到本地都會變成了UC、2345、瑞星;
開啟的是A網站,莫名其妙卻被跳轉至B網站,多為“黑五類廣告”。
各類劫持效果圖
當然,還包括一些公司自己開發的應用以及H5頁面,一般都被藥產品類(壯陽,豐胸,減肥,增高,醫療等產品),賣肉類(毒),菠菜類(賭博),金融類(資金盤),資源類(賣片,賣服務)佔據。
圈裡都知道,鬧得最大的還是2017年5月10日晚上,國務院某App遭流量劫持。
但是,因為512的WanaCrypt0r 2.0比特幣勒索病毒,這一轟動全球的事件,轉移了大家的視線,而這一更大爆點的網路資訊保安事件卻鮮為人知,或者說關註的人比較少。 該App某H5頁面被植入色情內容廣告,後經排查“基本確定為使用者當地運營商http劫持導致H5頁面被插入廣告……”
官方表示遭到運營商劫持
運營商連那啥都不怕,所以下麵的這些更是見怪不怪:
WooYun前年反映的問題
2年後的今天不知道後續處置結果如何
諷刺的是,360瀏覽器也在為運營商背鍋
v2ex上使用者聲討運營商劫持廣告
掘金網BryanSharp遇到的問題很眼熟
對於運營商流量劫持,網友們表示紛紛中槍:
expkzb:電信也有這問題,尤其是那個紅包廣告;
xiaofami:我用的是遼寧聯通,家庭光纖寬頻以及4G網路你說的這些問題都存在;
roist:上面的都算是良心運營商了,老家小城的一個央企寬頻,過年前後那幾個月,那專打手機的鋪天蓋地的黃色APP廣告,螢幕大的手機給你留半邊,螢幕小的手機直接全屏蓋滿熱點,一滑就自動彈開下載,關鍵TMD彈完了還是不能滑動頁面,而且不帶停的,直接沒法用;
k9982874:我們這邊是在移動裝置上訪問http協議網站底部會有廣告橫幅,掃清後消失,數小時後會再次出現。pc訪問沒有;
worldtongfb:感覺聯通現在真是變本加厲有恃無恐了,工信部也沒法管,聯通已經這樣了,使用者凈利潤都下滑,工信部管得再嚴點聯通都得直接倒閉了,那哪行啊。
暴利之下,人心被腐蝕黑化。
搜尋運營商劫持,這類黑產生意不要太好做:
運營商流量劫持已形成黑色產業鏈
大家可能會問,這群人哪來的資源?
早在去年的5月中旬,BN探秘組團隊(BiaNews)就針對運營商流量劫持話題,做過一期報道。一家名為“沃媒網”的網站,以“運營商精準廣告”的名義,公開販賣流量劫持業務。以下是當時的報道內容:
根據沃媒網提供的客服聯絡方式,我們與沃媒網工作人員取得了聯絡。值得一提的是,這名客服人員的頭像為中國電信Logo,且在暱稱中明文寫有“各種劫持”!
一位“銷售經理”的QQ號
為了獲取更多線索,我們偽裝成有意購買流量劫持服務的廣告主身份與沃媒網客服人員進行了溝通。
讓我們相信他們的業務能力,客服人員多次明確表示公司與電信存在合作,並稱公司的廣告服務為“電信廣告”,僅能在電信網路下顯示。隨後,為介紹自己的產品,沃媒網工作人員向我們提供了一份內部的宣傳資料。
在這份宣傳資料中,我們註意到,沃媒網提供的廣告服務號稱可以改寫全網99%的網站資源,甚至包括競品網站;在廣告樣式上也不受廣告位限制,PC端或移動端的任意廣告樣式均可釋出。此外,沃媒網在宣傳資料中多次強調,廣告內容由運營商直投,不受網站資源限制!
“電信精準廣告”宣傳資料
經過一番溝通,我們被要求提供廣告落地頁面設計稿以及公司相關資質證明等資料,交予電信方面審核。很快,沃媒網客服表示,我們提供的購物廣告透過了審核,可以上線,並可自由指定推廣區域。
而在收費標準方面,沃媒網的CPM(每千人成本)報價為3.5元,300CPM起投。而與之對比的是,微信朋友圈廣告的CPM底價為15元(註:18年上漲至50-150元)。
客服人員介紹收費標準
沃媒網工作人員稱,電信是“大公司”,合作流程繁瑣。如果我們認可他們的服務,在提供下述素材,完成相關流程審批後,就可以開始推廣。
我們根據提供的材料發現,沃媒網提供的廣告平臺產品,甚至具備相當專業的資料分析功能,與正規廣告平臺幾乎無異。
客戶資料後臺,投放效果實時展示
查到這裡,我們已經清晰掌握運營商流量劫持這項黑產業務的基本運營樣式。但是,這群黑產人員到底是如何弄到“運營商資源”,這一點還並不清晰。所以,我們決定與客服聊點深入的內容……
當談到與電信方面的合作方式,沃媒網的工作人員向我們透露,他們與電信旗下的號百公司有合作關係,電信彈窗推廣都是透過這一公司進行投放。
沃媒網客服聊天截圖(百號為客服口誤,應為號百)
透過企業公開資料顯示,號百公司即“號百資訊服務有限公司”,是中國電信股份有限公司旗下的全資子公司,主要負責號碼查詢服務“號碼百事通”的日常運營。
國家工商總局企業信用資訊查詢系統查詢內容截圖
顯然,號百公司的業務不止於此。我們在其官網(besttone.com.cn)上看到,號百公司還涉足資訊定製、精準廣告甚至團購業務。
號碼百事通官網
其中,針對所謂的精準廣告業務的描述如下:
精準廣告官網業務介紹
新官網更是乾脆將精準廣告包裝為“大資料應用資訊服務”
看完這段描述,細心的小夥伴可能會發現很眼熟。沒錯!在沃媒網的宣傳材料中,對流量劫持廣告也有著類似的描述!也許,這是“大資料”這個詞被黑得最慘的一天。
當然,這樣的業務描述難以被認定為電訊號百公司進行流量劫持的直接證據。
在百度搜索“電訊號百 流量劫持”相關結果中,我們發現,早在14年就有使用者指出,電信旗下的號百公司涉嫌進行流量劫持。遭遇強制跳轉的使用者查詢了跳轉頁面的域名資訊,發現上述域名均由號百公司備案註冊。
使用者直指號百參與流量劫持
圖中網友提到的“江蘇號百資訊服務有限公司”,就是中國電信全資子公司。而我們調查的沃媒科技公司同樣位於江蘇,不知這一情況是否只是巧合。
上述相關證據顯示,作為電信集團旗下的全資子公司,號百公司存在著較大的流量劫持嫌疑,極有可能是流量劫持行為的罪魁禍首!
FreeBuf曾報道過,有三名以色列的研究人員發現,中國的網際網路服務提供商(中國電信和中國聯通)正在向用戶的通訊資料包中註入某些內容。
在他們所發表的文章中,研究人員對網際網路服務提供商的這種操作手段和攻擊方式進行了詳細的分析,並且向大家解釋了網際網路服務提供商是如何監視使用者的網路通訊資訊,並修改資料包的URL目的地址的。
這些網際網路服務提供商使用了兩種註入技術,第一項技術為“Out of Band TCP Injection”,另一項技術為“HTTPInjection”。即TCP帶外資料註入和HTTP註入。
除此之外,研究人員還收集了大量的證據,併發現了偽造資料包的始作俑者。
他們發現,網際網路服務提供商與廣告網站之間存在著一種骯髒的利益關係,他們一同合作並創造出了大量的廣告收益,然後雙方就可以對這些收入進行分攤。
在調查過程中,研究人員還檢測到了大量被重定向的通訊資料,而這些均與他們的這種合作伙伴關係有關。
即使這種事情只發生在中國,但是全世界所有的使用者都將有可能受到影響。因為,如果你想要訪問中國的某個網站,那麼你的網路資訊就需要流經某國的網際網路服務提供商。這樣一來,你的通訊資料將有可能被註入廣告或者惡意軟體。
就當前的情況而言,可以說無法避免。由於是運營商層次的劫持,而並不是網站開發者操作。對於普通的終端使用者而言,無法採取技術手段遮蔽。
普通的使用者,只能採取被動手段,投訴!也別嫌麻煩,這個可以說是目前最簡單有效的方式……
工信部電信類使用者申訴受理中心
而對於企業而言,當前主流的手段,主要有兩個:
1、可以選擇切換到HTTPS,作為以安全為標的的HTTP通道, HTTPS被認為是HTTP的安全版,即在應用層又加了SSL協議,會對資料進行加密。
當然加密也是有代價的,不同於TCP/IP的三次握手,它需要七次握手,而且加上加密解密等因素,會使頁面的載入時間延長近50%,增加10%到20%的耗電,從而造成系統效能下降。
但是,這樣也就能基本避免運營商劫持了,畢竟黑產的目的是賺錢,流量劫持只是手段!他們也會核算成本!
2、如果沒法使用HTTPS,就必須在網頁中手動加入程式碼過濾。具體的思路是網頁在瀏覽器中載入完畢後用JavaScript程式碼檢查所有的外鏈是否屬於白名單。
具體可以參考這個連結:http://www.cnblogs.com/kenkofox/p/4924088.html
寫到這裡,Magiccc只想向WooYun與BiaNews團隊致敬,因為他們面對的不是簡單的黑產,而是一個手握利器的巨人……
最後,送上藍點網整理的兩個測試地址:
測試網頁廣告:
http://ad.ldstu.com/
測試安卓應用劫持:
http://tools.ldstu.com/ad/anzhuo.apk
若開啟上述頁面出現任何廣告都說明你被劫持了,若下載的應用超過272KB也說明你被劫持了。
本文內容參考內容源
BiaNews—《敢在太歲頭上動土:運營商流量劫持調查》
方老司—《你可能不知道你已經被運營商劫持了》
藍點網—《簡單的測試:測試你的網路是否被運營商劫持》
Freebuf—《國外安全研究員:中國ISP將使用者的合法流量劫持至惡意站點》
●編號625,輸入編號直達本文
●輸入m獲取文章目錄
Web開發
更多推薦《18個技術類微信公眾號》
涵蓋:程式人生、演演算法與資料結構、駭客技術與網路安全、大資料技術、前端開發、Java、Python、Web開發、安卓開發、iOS開發、C/C++、.NET、Linux、資料庫、運維等。