你的流量被劫持了么? 运营商里有内鬼!

1,

先打个赌,关于这个事儿,你百分百遇到过!

初期形态是这样的:

无论是iPhone还是安卓,你开着浏览器正玩得爽呢,突然在跳转到一个新的页面时,页面的右端底部突然出现了一个运营商的小蓝球,在那边抖啊抖,抖啊抖。。。。

基本上,我是忽略的,如果你好奇点进去,就是“原价二十三十块的流量,通通两块,通通两块。。。”,大概就是这个意思啦。。

(想想运营商也挺不容易,每天几百亿的流量在自己的地盘上跑来跑去。。自己却只能通过这样的方式来卖流量包。。。咳。。)

所以遇到过吧,吼吼,专有名字叫做:运营商流量劫持。

然而你可能只遇到过初期形态。。。还没遇到高级形态。。。

高级形态:

无论是PC端,还是移动端:当你想要下载A软件时,你最后收到的下载包是B软件的。。。缓冲了半天竟然是葫芦娃,这种痛苦,你可懂?

针对移动端越来越大的流量:新闻类的APP,浏览器,甚至包括微信公号的文章界面的底部,都出现了“狗皮膏药”式的广告。。

(为了避免被删的命运。。。先说一句,这事可能和运营商本身关系不大,关系更大的是黑产和内鬼。。)

目前,乌云的白帽子们已经出动,基本摸清了整个事儿的脉络。。随差评君来看看这无间道般的剧情吧。。。

大概是这样的:有一天,某个白帽子的一个朋友跟他说了一个奇怪的问题,当他明明打开小米应用商店的网页,想要下载这个应用的时候。。。

下载下来的apk(安装文件)却是UC浏览器的。。。。。。

白帽子不信,自己试了下。。。

1301300wx_fmtjpegamptpwebpampwxfrom130ampwx_lazy13013

注意左下角:UCBrowserV10.9.0.703XXX_(Build151211143335).apk

我擦,准确无误啊。。

又搜了下微博。。。这名白帽子发现这并不是单一案例。。

1291290wx_fmtjpegamptpwebpampwxfrom129ampwx_lazy12912
1311310wx_fmtjpegamptpwebpampwxfrom131ampwx_lazy13113

好,行动。。。这哥们在通过抓包,发现所有的apk下载请求,都会被重新定向到一个神秘的地方。。。

然后下载地址就被悄悄的替换掉了。。

1321320wx_fmtjpegamptpwebpampwxfrom132ampwx_lazy13213
图片来源:乌云

上面这个图说的很清楚,简单来说,我们的每个操作,所带来的反馈,都来自于服务器的。正常的流程呢,我要下小米的这个应用,小米的服务器会返回给我一个正确下载地址,但是在这里这个流程被切断了。。。你的请求被导向给一台未知的神秘服务器,然后它给你发送了被掉包的下载地址,也就是上面的那个UC浏览器的下载地址。

那这个神秘的回路,到底在哪里。。很巧,这哥们在他们的代码行里,发现了蛛丝马迹。。

39390wx_fmtpngamptpwebpampwxfrom39ampwx_lazy393

直接打开这个第一行的那个IP后,他被吓到了。。。

1331330wx_fmtjpegamptpwebpampwxfrom133ampwx_lazy13313

安装分发平台。。这样的明目张胆的地下黑产倒是第一次见。。。竟然UI做的比12306还要好看。。

你看左边的配图多像4A公司的作品。。

不过,也很明显,这映射出一个事实,现在的黑产啊,已经越来越成熟,越来越标准化了。。

(安卓端你按一个下载5块钱来算,一天100万的量,就是500万现金啊!!那里去捡这500万。。。你倒是告诉差评君。。。。也许你会说一天100万的下载量,可能么?好,我们接着看。。)

然而,虽然UI做的漂亮。。但是安全架构上,还是比较差。。。这位白帽很轻松的就拿下了这个网站。。

下面是他的发现。。

这个系统呢,还是不错的,每天对用户的劫持行为都被详细的记录在案。。。给我们留下了充足的证据。。。

1341340wx_fmtjpegamptpwebpampwxfrom134ampwx_lazy13413

在每个“劫持日报”里面,他们对用户的归属地,下载apk,被替换apk,劫持时间等列的非常详细,想必是为了结算的方便。。

当然这次劫持事件,主要针对是这三个地方。。天津,唐山,四川

40400wx_fmtpngamptpwebpampwxfrom40ampwx_lazy404

大概量有多少呢,我们看下元旦左右的数据。。。

41410wx_fmtpngamptpwebpampwxfrom41ampwx_lazy414

(白帽对于这点没有讲清楚,但差评君觉得被劫持链接的应该不止小米一家)

数量这么恐怖的流量被劫持,会卖给谁呢?

难道只有UC浏览器???没别人??

才不信,天天这么烧。。。这钱谁烧的起。。

对于这点,这位白帽兄弟搞清楚了,他在乌云的漏洞描述页写到:

“看来除了UC浏览器还有别家通过这套劫持系统对自家的应用做推广。比如*度手机卫士、*60安全卫士。”

哦。。。。。。你们这群坏人。。

其实差评君这里举得只是一个冰山一角的例子。。。。永远相信美好的事情不会发生,当流量=金钱时,普通民众就成了待宰的羔羊。。

第三方监测数据显示,包括三大运营商在内,美团大众点评网流量的1%到2%都会发生劫持。。。

还记得去年年底的事儿么。。虽然最后不了了之。。包括小米,腾讯,微博,今日头条,360,美团六家公司在微博上发布了这个联合声明。

42420wx_fmtpngamptpwebpampwxfrom42ampwx_lazy424

大图:

1351350wx_fmtjpegamptpwebpampwxfrom135ampwx_lazy13513

还是那句话,永远相信美好的事情不会发生。。。

那背后的底层逻辑是怎么样?这些劫持流量的人只是单纯的黑客??

其实劫持方法很多,比如http劫持,DNS污染,http注入广告。。。。但基本上如此大批量的产生问题,运营商这边脱不了干系。。。换言之,除黑客外,还必须有内鬼!

举个例子,比如域名劫持:

当我们输入163.com的时候,运营商的DNS服务器就会将该域名转化成具体的IP地址,如58.217.200.39。

如果没有内鬼,你的意思你能黑了一个城市的甚至一个省的DNS服务器?

所以,看下下面这条新闻,有些人赶紧收手吧。。

“今年5月,百度曾联合重庆警方破获了一起特大DNS流量劫持案,两名犯罪嫌疑人均为重庆电信正式职工,他们利用职务之便,通过技术手段非法劫持流量,与私营广告主串通谋取私利并损害用户利益,不到半年时间涉案金额即高达150余万元。”

其实这还好。。下载的虽然不是想要的,但起码是正版的,如果黑客瞄上了他们强上你的时候留下的漏洞,“黑吃黑”截胡,那么好了。。。

蹦蹬呛。。。一起歇菜吧。。

分享这个页面
推荐阅读 查看更多