你的流量被劫持了么? 运营商里有内鬼!
这两天好累
感觉身体被掏空了
前两天都在忙于琐事(比如,确定差评黑市的产品,找货源渠道,以及帮女朋友搬家这样的事儿),所以可能文章质量比较一般,大家谅解啊。。。
恩,今天差评君要好好写了。。
先打个赌,关于这个事儿,你百分百遇到过!
初期形态是这样的:
无论是iPhone还是安卓,你开着浏览器正玩得爽呢,突然在跳转到一个新的页面时,页面的右端底部突然出现了一个运营商的小蓝球,在那边抖啊抖,抖啊抖。。。。
基本上,我是忽略的,如果你好奇点进去,就是“原价二十三十块的流量,通通两块,通通两块。。。”,大概就是这个意思啦。。
(想想运营商也挺不容易,每天几百亿的流量在自己的地盘上跑来跑去。。自己却只能通过这样的方式来卖流量包。。。咳。。)
所以遇到过吧,吼吼,专有名字叫做:运营商流量劫持。
然而你可能只遇到过初期形态。。。还没遇到高级形态。。。
高级形态:
无论是PC端,还是移动端:当你想要下载A软件时,你最后收到的下载包是B软件的。。。缓冲了半天竟然是葫芦娃,这种痛苦,你可懂?
针对移动端越来越大的流量:新闻类的APP,浏览器,甚至包括微信公号的文章界面的底部,都出现了“狗皮膏药”式的广告。。
(为了避免被删的命运。。。先说一句,这事可能和运营商本身关系不大,关系更大的是黑产和内鬼。。)
目前,乌云的白帽子们已经出动,基本摸清了整个事儿的脉络。。随差评君来看看这无间道般的剧情吧。。。
秒跪这标题
大概是这样的:有一天,某个白帽子的一个朋友跟他说了一个奇怪的问题,当他明明打开小米应用商店的网页,想要下载这个应用的时候。。。
下载下来的apk(安装文件)却是UC浏览器的。。。。。。
白帽子不信,自己试了下。。。
注意左下角:UCBrowserV10.9.0.703XXX_(Build151211143335).apk
我擦,准确无误啊。。
又搜了下微博。。。这名白帽子发现这并不是单一案例。。
好,行动。。。这哥们在通过抓包,发现所有的apk下载请求,都会被重新定向到一个神秘的地方。。。
然后下载地址就被悄悄的替换掉了。。
图片来源:乌云
上面这个图说的很清楚,简单来说,我们的每个操作,所带来的反馈,都来自于服务器的。正常的流程呢,我要下小米的这个应用,小米的服务器会返回给我一个正确下载地址,但是在这里这个流程被切断了。。。你的请求被导向给一台未知的神秘服务器,然后它给你发送了被掉包的下载地址,也就是上面的那个UC浏览器的下载地址。
那这个神秘的回路,到底在哪里。。很巧,这哥们在他们的代码行里,发现了蛛丝马迹。。
直接打开这个第一行的那个IP后,他被吓到了。。。
安装分发平台。。这样的明目张胆的地下黑产倒是第一次见。。。竟然UI做的比12306还要好看。。
你看左边的配图多像4A公司的作品。。
不过,也很明显,这映射出一个事实,现在的黑产啊,已经越来越成熟,越来越标准化了。。
(安卓端你按一个下载5块钱来算,一天100万的量,就是500万现金啊!!那里去捡这500万。。。你倒是告诉差评君。。。。也许你会说一天100万的下载量,可能么?好,我们接着看。。)
然而,虽然UI做的漂亮。。但是安全架构上,还是比较差。。。这位白帽很轻松的就拿下了这个网站。。
下面是他的发现。。
这个系统呢,还是不错的,每天对用户的劫持行为都被详细的记录在案。。。给我们留下了充足的证据。。。
在每个“劫持日报”里面,他们对用户的归属地,下载apk,被替换apk,劫持时间等列的非常详细,想必是为了结算的方便。。
当然这次劫持事件,主要针对是这三个地方。。天津,唐山,四川
大概量有多少呢,我们看下元旦左右的数据。。。
(白帽对于这点没有讲清楚,但差评君觉得被劫持链接的应该不止小米一家)
数量这么恐怖的流量被劫持,会卖给谁呢?
难道只有UC浏览器???没别人??
才不信,天天这么烧。。。这钱谁烧的起。。
对于这点,这位白帽兄弟搞清楚了,他在乌云的漏洞描述页写到:
“看来除了UC浏览器还有别家通过这套劫持系统对自家的应用做推广。比如*度手机卫士、*60安全卫士。”
哦。。。。。。你们这群坏人。。
其实差评君这里举得只是一个冰山一角的例子。。。。永远相信美好的事情不会发生,当流量=金钱时,普通民众就成了待宰的羔羊。。
第三方监测数据显示,包括三大运营商在内,美团大众点评网流量的1%到2%都会发生劫持。。。
还记得去年年底的事儿么。。虽然最后不了了之。。包括小米,腾讯,微博,今日头条,360,美团六家公司在微博上发布了这个联合声明。
大图:
还是那句话,永远相信美好的事情不会发生。。。
那背后的底层逻辑是怎么样?这些劫持流量的人只是单纯的黑客??
其实劫持方法很多,比如http劫持,DNS污染,http注入广告。。。。但基本上如此大批量的产生问题,运营商这边脱不了干系。。。换言之,除黑客外,还必须有内鬼!
举个例子,比如域名劫持:
当我们输入163.com的时候,运营商的DNS服务器就会将该域名转化成具体的IP地址,如58.217.200.39。
如果没有内鬼,你的意思你能黑了一个城市的甚至一个省的DNS服务器?
所以,看下下面这条新闻,有些人赶紧收手吧。。
“今年5月,百度曾联合重庆警方破获了一起特大DNS流量劫持案,两名犯罪嫌疑人均为重庆电信正式职工,他们利用职务之便,通过技术手段非法劫持流量,与私营广告主串通谋取私利并损害用户利益,不到半年时间涉案金额即高达150余万元。”
其实这还好。。下载的虽然不是想要的,但起码是正版的,如果黑客瞄上了他们强上你的时候留下的漏洞,“黑吃黑”截胡,那么好了。。。
蹦蹬呛。。。一起歇菜吧。。
感谢乌云团队在内容和技术上的支持!
唯一非官方微博:
@差评君来了
不一定回复的邮箱:
长按二维码关注
看精选文章,添加后,后台回复“精选”
呵呵,关注这个号的人运气不会太差