近日谷歌發布的廣告注射器報告顯示,有5.5%的獨立IP地址(大約數百萬用戶)訪問了已經注射廣告的谷歌頁面,這些廣告來自超過5萬款瀏覽器擴展和3.4萬款軟件應用,其中超過30%的廣告注射器具備偷竊帳號隱私、劫持搜索結果或者引誘用戶跳轉到第三方網站的功能。
事實上廣告注射器在國內也非常泛濫。360反病毒小組分析發現,國內不少比價類軟件和瀏覽器擴展插件打著比價、返利旗號,通過軟件捆綁等形式大肆傳播,然而省錢的背后隱藏的是其注入廣告的真實目的,其中一些流行度極高的比價插件更存在著巨大的安全隱患。
以這款淘淘搜比價(淘同款)為例,其宣稱“暢行淘寶和天貓的強大利器。通過圖像搜索技術為你迅速找出同款或相似款的商品,方便你進行比價和挑選,將省錢進行到底!”
事實上真有其宣稱的這么好嗎?這里我們深入分析淘淘搜的Chrome瀏覽器擴展,看一下它究竟做了些什么。
Chrome瀏覽器擴展的大體原理:
用過Chrome或Chrome內核瀏覽器的朋友,想必對“瀏覽器擴展”不會陌生,它們能為瀏覽器增添許多豐富功能和特性(如著名的廣告過濾擴展:adblock)。實際上這些擴展就是一個個壓縮包,每個壓縮包里有至少有一個配置文件,以及所需要用到的資源文件和實現功能的腳本文件。而這些腳本中,有一類非常常用的腳本——Content Script(內容腳本)則可用于修改瀏覽器訪問的頁面的內容。這個功能乍一看一看很美好也很實用,但其實暗藏的隱患恰恰給了注入廣告類擴展一個可乘之機。誠然,接觸過擴展編輯的朋友可能會反駁我說,Chrome瀏覽器的擴展想要修改特定的頁面,是需要在安裝時聲明的。這么說是沒錯,但問題是這些聲明——誰又會去看呢?
一、在各大購物、門戶等網站中插入廣告。
通過其請求的js代碼,可以看到其對哪些網站進行注入廣告都由云端規則控制:
分區域進行不同廣告行為:IP區域在上海、北京、青島三地的廣告行為有所不同:
常用的訪問量大的網站基本無一幸免均在其注入廣告的列表之中,在此也只列舉幾個比較典型的。
淘寶:
天貓:
9.9元的錢包擺地攤似的擺上京東的首頁:
還沒到過年時候呢,在4399.com網站上游戲對聯都給掛上了:
12306賣起了一折的勞力士:
這一折的勞力士不管你買不買游戲彈窗還是要送的!
二、跳轉導航、購物網站的推廣ID。
在亞馬遜網站點擊商品后被自動加入幫5淘的推廣ID:
訪問baidu.com首頁被跳轉至:https://www.baidu.com/?tn=91529317_hao_pg
訪問hao123.com首頁被跳轉至:http://www.hao123.com/?tn=95895567_hao_pg
修改Cookie信息:
例如訪問唯品會網站后,跳轉http://uu.134bu.com/vp/a/再將帶有推廣ID的信息添加到唯品會網站的Cookie中。
對于此類廣告注入行為,普通用戶毫無感知。由于這些程序會隱藏于瀏覽器和網站之間,更改網站代碼,導致用戶難以識別廣告的合法性。用戶在訪問正規官網時看見頁面展示此類廣告,很可能將其誤以為是官網推薦,因此對廣告的安全性不加懷疑。而此類廣告有可能會將用戶誘導向釣魚網站或存在風險的網店,使用戶遭受賬號隱私泄露及財產損失。
360互聯網安全中心提示廣大用戶:
1、輸入百度、淘寶等知名網站的網址直接訪問時,如果發現網址后自動補上了可疑的字符串,說明電腦存在瀏覽器劫持情況,應及時檢查清理不可信的瀏覽器擴展插件。
2、定期使用360安全衛士等安全軟件掃描插件,發現惡意插件及時清除。
3、開啟安全軟件實時防御功能,一旦被廣告類軟件誘導向存在安全隱患的網站,能第一時間彈窗警報。
