技术开发 频道

“国产”广告注射器分析:强插各大网站

  近日谷歌发布的广告注射器报告显示,有5.5%的独立IP地址(大约数百万用户)访问了已经注射广告的谷歌页面,这些广告来自超过5万款浏览器扩展和3.4万款软件应用,其中超过30%的广告注射器具备偷窃帐号隐私、劫持搜索结果或者引诱用户跳转到第三方网站的功能。

  事实上广告注射器在国内也非常泛滥。360反病毒小组分析发现,国内不少比价类软件和浏览器扩展插件打着比价、返利旗号,通过软件捆绑等形式大肆传播,然而省钱的背后隐藏的是其注入广告的真实目的,其中一些流行度极高的比价插件更存在着巨大的安全隐患。

  以这款淘淘搜比价(淘同款)为例,其宣称“畅行淘宝和天猫的强大利器。通过图像搜索技术为你迅速找出同款或相似款的商品,方便你进行比价和挑选,将省钱进行到底!”

  事实上真有其宣称的这么好吗?这里我们深入分析淘淘搜的Chrome浏览器扩展,看一下它究竟做了些什么。

  Chrome浏览器扩展的大体原理:

  用过Chrome或Chrome内核浏览器的朋友,想必对“浏览器扩展”不会陌生,它们能为浏览器增添许多丰富功能和特性(如著名的广告过滤扩展:adblock)。实际上这些扩展就是一个个压缩包,每个压缩包里有至少有一个配置文件,以及所需要用到的资源文件和实现功能的脚本文件。而这些脚本中,有一类非常常用的脚本——Content Script(内容脚本)则可用于修改浏览器访问的页面的内容。这个功能乍一看一看很美好也很实用,但其实暗藏的隐患恰恰给了注入广告类扩展一个可乘之机。诚然,接触过扩展编辑的朋友可能会反驳我说,Chrome浏览器的扩展想要修改特定的页面,是需要在安装时声明的。这么说是没错,但问题是这些声明——谁又会去看呢?

  一、在各大购物、门户等网站中插入广告。

  通过其请求的js代码,可以看到其对哪些网站进行注入广告都由云端规则控制:

  分区域进行不同广告行为:IP区域在上海、北京、青岛三地的广告行为有所不同:

  常用的访问量大的网站基本无一幸免均在其注入广告的列表之中,在此也只列举几个比较典型的。

  淘宝:

  天猫:

  9.9元的钱包摆地摊似的摆上京东的首页:

  还没到过年时候呢,在4399.com网站上游戏对联都给挂上了:

  12306卖起了一折的劳力士:

  这一折的劳力士不管你买不买游戏弹窗还是要送的!

  二、跳转导航、购物网站的推广ID。

  在亚马逊网站点击商品后被自动加入帮5淘的推广ID:

  访问baidu.com首页被跳转至:https://www.baidu.com/?tn=91529317_hao_pg

  访问hao123.com首页被跳转至:http://www.hao123.com/?tn=95895567_hao_pg

  修改Cookie信息:

  例如访问唯品会网站后,跳转http://uu.134bu.com/vp/a/再将带有推广ID的信息添加到唯品会网站的Cookie中。

  对于此类广告注入行为,普通用户毫无感知。由于这些程序会隐藏于浏览器和网站之间,更改网站代码,导致用户难以识别广告的合法性。用户在访问正规官网时看见页面展示此类广告,很可能将其误以为是官网推荐,因此对广告的安全性不加怀疑。而此类广告有可能会将用户诱导向钓鱼网站或存在风险的网店,使用户遭受账号隐私泄露及财产损失。

  360互联网安全中心提示广大用户:

  1、输入百度、淘宝等知名网站的网址直接访问时,如果发现网址后自动补上了可疑的字符串,说明电脑存在浏览器劫持情况,应及时检查清理不可信的浏览器扩展插件。

  2、定期使用360安全卫士等安全软件扫描插件,发现恶意插件及时清除。

  3、开启安全软件实时防御功能,一旦被广告类软件诱导向存在安全隐患的网站,能第一时间弹窗警报。

0
相关文章