信很多人在使用電腦瀏覽器瀏覽網(wǎng)頁時(shí)或多或少的都后出現(xiàn)漂浮醒廣告，你知道這些是怎么鎖定你的電腦瀏覽器的嗎》讓我們一起來看看一篇小黃文牽出來的秘密

上周有熱心的小伙伴向Magiccc反饋，點(diǎn)擊“閱讀原文”發(fā)現(xiàn)極驗(yàn)移動(dòng)官網(wǎng)底部有不可描述的浮窗廣告，點(diǎn)擊后跳出一篇小黃文。

這還得了!馬上找到“網(wǎng)管”紅姐，經(jīng)過我的描述，紅姐還是一臉懵逼，但是聽到我說有小黃文，紅姐曖昧一笑，表示這個(gè)熱心小伙伴可能遭到了“流量劫持”......

運(yùn)營商流量劫持示意圖

啥叫流量劫持，下面這些場景大家一定會(huì)很熟悉：

刷微博，瀏覽新聞，下面提示“領(lǐng)取紅包”、“真人侍寵”或一些大保健腎虧廣告

下載某應(yīng)用，無論是手機(jī)端還是 PC 端，下載到本地都會(huì)變成了UC、2345、瑞星

打開的是A網(wǎng)站，莫名其妙卻被跳轉(zhuǎn)至B網(wǎng)站，多為“黑五類廣告”

各類劫持效果圖

當(dāng)然，還包括一些公司自己開發(fā)的應(yīng)用以及H5頁面，一般都被藥產(chǎn)品類(壯陽，豐胸，減肥，增高，醫(yī)療等產(chǎn)品)，賣肉類(毒)，菠菜類(賭博)，金融類(資金盤)，資源類(賣片，賣服務(wù))占據(jù)。

1

某國字號(hào)App遭遇流量劫持

圈里都知道，鬧得最大的還是2017年5月10日晚上，國務(wù)院某App遭流量劫持。

但是，因?yàn)?12的WanaCrypt0r 2.0比特幣勒索病毒，這一轟動(dòng)全球的事件，轉(zhuǎn)移了大家的視線，而這一更大爆點(diǎn)的網(wǎng)絡(luò)信息安全事件卻鮮為人知，或者說關(guān)注的人比較少。 該App某H5頁面被植入色情內(nèi)容廣告，后經(jīng)排查“基本確定為用戶當(dāng)?shù)剡\(yùn)營商http劫持導(dǎo)致H5頁面被插入廣告......”

官方表示遭到運(yùn)營商劫持

運(yùn)營商連那啥都不怕，所以下面的這些更是見怪不怪：

WooYun前年反映的問題

2年后的今天不知道后續(xù)處置結(jié)果如何

諷刺的是，360瀏覽器也在為運(yùn)營商背鍋

v2ex上用戶聲討運(yùn)營商劫持廣告

掘金網(wǎng)BryanSharp遇到的問題很眼熟

對(duì)于運(yùn)營商流量劫持，網(wǎng)友們表示紛紛中槍：

expkzb：電信也有這問題，尤其是那個(gè)紅包廣告

xiaofami：我用的是遼寧聯(lián)通，家庭光纖寬帶以及4G網(wǎng)絡(luò)你說的這些問題都存在

roist：上面的都算是良心運(yùn)營商了，老家小城的一個(gè)央企寬帶，過年前后那幾個(gè)月，那專打手機(jī)的鋪天蓋地的黃色APP廣告，屏幕大的手機(jī)給你留半邊，屏幕小的手機(jī)直接全屏蓋滿熱點(diǎn)，一滑就自動(dòng)彈開下載，關(guān)鍵TMD彈完了還是不能滑動(dòng)頁面，而且不帶停的，直接沒法用

k9982874：我們這邊是在移動(dòng)設(shè)備上訪問http協(xié)議網(wǎng)站底部會(huì)有廣告橫幅，刷新后消失，數(shù)小時(shí)后會(huì)再次出現(xiàn)。pc訪問沒有

worldtongfb:感覺聯(lián)通現(xiàn)在真是變本加厲有恃無恐了，工信部也沒法管，聯(lián)通已經(jīng)這樣了，用戶凈利潤都下滑，工信部管得再嚴(yán)點(diǎn)聯(lián)通都得直接倒閉了，那哪行啊

2

運(yùn)營商流量劫持服務(wù)被公開販賣

暴利之下，人心被腐蝕黑化

搜索運(yùn)營商劫持，這類黑產(chǎn)生意不要太好做：

運(yùn)營商流量劫持已形成黑色產(chǎn)業(yè)鏈

大家可能會(huì)問，這群人哪來的資源?

早在去年的5月中旬，BN探秘組團(tuán)隊(duì)(BiaNews)就針對(duì)運(yùn)營商流量劫持話題，做過一期報(bào)道。一家名為“沃媒網(wǎng)”的網(wǎng)站，以“運(yùn)營商精準(zhǔn)廣告”的名義，公開販賣流量劫持業(yè)務(wù)。以下是當(dāng)時(shí)的報(bào)道內(nèi)容：

根據(jù)沃媒網(wǎng)提供的客服聯(lián)系方式，我們與沃媒網(wǎng)工作人員取得了聯(lián)系。值得一提的是，這名客服人員的頭像為中國電信Logo，且在昵稱中明文寫有“各種劫持”!

一位“銷售經(jīng)理”的QQ號(hào)

為了獲取更多線索，我們偽裝成有意購買流量劫持服務(wù)的廣告主身份與沃媒網(wǎng)客服人員進(jìn)行了溝通。

讓我們相信他們的業(yè)務(wù)能力，客服人員多次明確表示公司與電信存在合作，并稱公司的廣告服務(wù)為“電信廣告”，僅能在電信網(wǎng)絡(luò)下顯示。隨后，為介紹自己的產(chǎn)品，沃媒網(wǎng)工作人員向我們提供了一份內(nèi)部的宣傳資料。

在這份宣傳資料中，我們注意到，沃媒網(wǎng)提供的廣告服務(wù)號(hào)稱可以覆蓋全網(wǎng)99%的網(wǎng)站資源，甚至包括競品網(wǎng)站;在廣告樣式上也不受廣告位限制，PC端或移動(dòng)端的任意廣告樣式均可發(fā)布。此外，沃媒網(wǎng)在宣傳資料中多次強(qiáng)調(diào)，廣告內(nèi)容由運(yùn)營商直投，不受網(wǎng)站資源限制!

“電信精準(zhǔn)廣告”宣傳資料

經(jīng)過一番溝通，我們被要求提供廣告落地頁面設(shè)計(jì)稿以及公司相關(guān)資質(zhì)證明等資料，交予電信方面審核。很快，沃媒網(wǎng)客服表示，我們提供的購物廣告通過了審核，可以上線，并可自由指定推廣區(qū)域。

而在收費(fèi)標(biāo)準(zhǔn)方面，沃媒網(wǎng)的CPM(每千人成本)報(bào)價(jià)為3.5元，300CPM起投。而與之對(duì)比的是，微信朋友圈廣告的CPM底價(jià)為15元(注：18年上漲至50-150元)。

客服人員介紹收費(fèi)標(biāo)準(zhǔn)

沃媒網(wǎng)工作人員稱，電信是“大公司”，合作流程繁瑣。如果我們認(rèn)可他們的服務(wù)，在提供下述素材，完成相關(guān)流程審批后，就可以開始推廣。

我們根據(jù)提供的材料發(fā)現(xiàn)，沃媒網(wǎng)提供的廣告平臺(tái)產(chǎn)品，甚至具備相當(dāng)專業(yè)的數(shù)據(jù)分析功能，與正規(guī)廣告平臺(tái)幾乎無異。

客戶數(shù)據(jù)后臺(tái)，投放效果實(shí)時(shí)展示

查到這里，我們已經(jīng)清晰掌握運(yùn)營商流量劫持這項(xiàng)黑產(chǎn)業(yè)務(wù)的基本運(yùn)營模式。但是，這群黑產(chǎn)人員到底是如何弄到“運(yùn)營商資源”，這一點(diǎn)還并不清晰。所以，我們決定與客服聊點(diǎn)深入的內(nèi)容......

3

盤根錯(cuò)節(jié)，網(wǎng)絡(luò)最大黑產(chǎn)浮出水面

當(dāng)談到與電信方面的合作方式，沃媒網(wǎng)的工作人員向我們透露，他們與電信旗下的號(hào)百公司有合作關(guān)系，電信彈窗推廣都是通過這一公司進(jìn)行投放。

沃媒網(wǎng)客服聊天截圖(百號(hào)為客服口誤，應(yīng)為號(hào)百)

通過企業(yè)公開資料顯示，號(hào)百公司即“號(hào)百信息服務(wù)有限公司”，是中國電信股份有限公司旗下的全資子公司，主要負(fù)責(zé)號(hào)碼查詢服務(wù)“號(hào)碼百事通”的日常運(yùn)營。

國家工商總局企業(yè)信用信息查詢系統(tǒng)查詢內(nèi)容截屏

顯然，號(hào)百公司的業(yè)務(wù)不止于此。我們?cè)谄涔倬W(wǎng)(besttone.com.cn)上看到，號(hào)百公司還涉足信息定制、精準(zhǔn)廣告甚至團(tuán)購業(yè)務(wù)。

號(hào)碼百事通官網(wǎng)

其中，針對(duì)所謂的精準(zhǔn)廣告業(yè)務(wù)的描述如下：

精準(zhǔn)廣告官網(wǎng)業(yè)務(wù)介紹

新官網(wǎng)更是干脆將精準(zhǔn)廣告包裝為“大數(shù)據(jù)應(yīng)用信息服務(wù)”。

看完這段描述，細(xì)心的小伙伴可能會(huì)發(fā)現(xiàn)很眼熟。沒錯(cuò)!在沃媒網(wǎng)的宣傳材料中，對(duì)流量劫持廣告也有著類似的描述!也許，這是“大數(shù)據(jù)”這個(gè)詞被黑得最慘的一天。

當(dāng)然，這樣的業(yè)務(wù)描述難以被認(rèn)定為電信號(hào)百公司進(jìn)行流量劫持的直接證據(jù)。

在百度搜索“電信號(hào)百 流量劫持”相關(guān)結(jié)果中，我們發(fā)現(xiàn)，早在14年就有用戶指出，電信旗下的號(hào)百公司涉嫌進(jìn)行流量劫持。遭遇強(qiáng)制跳轉(zhuǎn)的用戶查詢了跳轉(zhuǎn)頁面的域名信息，發(fā)現(xiàn)上述域名均由號(hào)百公司備案注冊(cè)。

用戶直指號(hào)百參與流量劫持

圖中網(wǎng)友提到的“江蘇號(hào)百信息服務(wù)有限公司”，就是中國電信全資子公司。而我們調(diào)查的沃媒科技公司同樣位于江蘇，不知這一情況是否只是巧合。

上述相關(guān)證據(jù)顯示，作為電信集團(tuán)旗下的全資子公司，號(hào)百公司存在著較大的流量劫持嫌疑，極有可能是流量劫持行為的罪魁禍?zhǔn)?

4

三個(gè)以色列研究院發(fā)現(xiàn)

中國用戶正在被運(yùn)營商劫持

根據(jù)Freebuf報(bào)道，有三名以色列的研究人員發(fā)現(xiàn)，中國的互聯(lián)網(wǎng)服務(wù)提供商(中國電信和中國聯(lián)通)正在向用戶的通信數(shù)據(jù)包中注入某些內(nèi)容。

在他們所發(fā)表的文章中，研究人員對(duì)互聯(lián)網(wǎng)服務(wù)提供商的這種操作手段和攻擊方式進(jìn)行了詳細(xì)的分析，并且向大家解釋了互聯(lián)網(wǎng)服務(wù)提供商是如何監(jiān)視用戶的網(wǎng)絡(luò)通訊信息，并修改數(shù)據(jù)包的URL目的地址的。

這些互聯(lián)網(wǎng)服務(wù)提供商使用了兩種注入技術(shù)，第一項(xiàng)技術(shù)為“Out of Band TCP Injection”，另一項(xiàng)技術(shù)為“HTTPInjection”。即TCP帶外數(shù)據(jù)注入和HTTP注入。

除此之外，研究人員還收集了大量的證據(jù)，并發(fā)現(xiàn)了偽造數(shù)據(jù)包的始作俑者。

他們發(fā)現(xiàn)，互聯(lián)網(wǎng)服務(wù)提供商與廣告網(wǎng)站之間存在著一種骯臟的利益關(guān)系，他們一同合作并創(chuàng)造出了大量的廣告收益，然后雙方就可以對(duì)這些收入進(jìn)行分?jǐn)偂?/p>

在調(diào)查過程中，研究人員還檢測到了大量被重定向的通信數(shù)據(jù)，而這些均與他們的這種合作伙伴關(guān)系有關(guān)。

即使這種事情只發(fā)生在中國，但是全世界所有的用戶都將有可能受到影響。因?yàn)椋绻阆胍L問中國的某個(gè)網(wǎng)站，那么你的網(wǎng)絡(luò)信息就需要流經(jīng)某國的互聯(lián)網(wǎng)服務(wù)提供商。這樣一來，你的通信數(shù)據(jù)將有可能被注入廣告或者惡意軟件。

5

運(yùn)營商流量劫持，如何避免?

就當(dāng)前的情況而言，可以說無法避免。由于是運(yùn)營商層次的劫持，而并不是網(wǎng)站開發(fā)者操作。對(duì)于普通的終端用戶而言，無法采取技術(shù)手段屏蔽。

普通的用戶，只能采取被動(dòng)手段，投訴!也別嫌麻煩，這個(gè)可以說是目前最簡單有效的方式......

工信部電信類用戶申訴受理中心

而對(duì)于企業(yè)而言，當(dāng)前主流的手段，主要有兩個(gè)：

可以選擇切換到HTTPS，作為以安全為目標(biāo)的HTTP通道， HTTPS被認(rèn)為是HTTP的安全版，即在應(yīng)用層又加了SSL協(xié)議，會(huì)對(duì)數(shù)據(jù)進(jìn)行加密。

當(dāng)然加密也是有代價(jià)的，不同于TCP/IP的三次握手，它需要七次握手，而且加上加密解密等因素，會(huì)使頁面的加載時(shí)間延長近50%，增加10%到20%的耗電，從而造成系統(tǒng)性能下降。

但是，這樣也就能基本避免運(yùn)營商劫持了，畢竟黑產(chǎn)的目的是賺錢，流量劫持只是手段!他們也會(huì)核算成本!

如果沒法使用HTTPS，就必須在網(wǎng)頁中手動(dòng)加入代碼過濾。具體的思路是網(wǎng)頁在瀏覽器中加載完畢后用JavaScript代碼檢查所有的外鏈?zhǔn)欠駥儆诎酌麊巍?/p>

具體可以參考這個(gè)鏈接：http://www.cnblogs.com/kenkofox/p/4924088.html

寫到這里，Magiccc只想向WooYun與BiaNews團(tuán)隊(duì)致敬，因?yàn)樗麄兠鎸?duì)的不是簡單的黑產(chǎn)，而是一個(gè)手握利器的巨人......

最后，送上藍(lán)點(diǎn)網(wǎng)整理的兩個(gè)測試地址：

測試網(wǎng)頁廣告：http://ad.ldstu.com/

測試安卓應(yīng)用劫持：http://tools.ldstu.com/ad/anzhuo.apk

若打開上述頁面出現(xiàn)任何廣告都說明你被劫持了，若下載的應(yīng)用超過272KB也說明你被劫持了。

來源：網(wǎng)絡(luò)