神马搜索手撕搜狗的背后:扒一扒流量劫持的前世今生

2018 年 4 月 12 日 宅客频道 郭佳

又有互联网公司开撕了!

这次是神马搜索和搜狗,前者背靠UC在移动搜索领域做得风生水起,后者刚刚上市,并且凭借输入法独步武林。

这两天,有多家媒体向吃瓜群众抛出好戏开演的预告:神马搜索起诉搜狗公司非法劫持流量案将于下周二在海淀法院开庭。

神马搜索称,搜狗通过输入法的候选词功能使本属于神马搜索的流量导向搜狗搜索,请求法院判令赔偿损失102,490,175.74元(一亿多)。

又一猛料是:在此次诉讼中,神马搜索向法院提供了被劫持的流量数据高达18.97亿的证据。


流量劫持有哪些油水可捞?

首先,我们先来看看究竟什么是流量劫持,油水怎么捞?

简单来说,流量劫持就是动用技术手段,在你想上 A 网站的时候,把你弄到 B 网站;或者往你原本的网站内容里加点料。比如,你用着用着百度突然就跳到了搜狗;你看完了某篇微信公众号的文章后,发现文末还有各类“狗皮膏药”小广告在等你点击。(注:不是广点通)

大家都知道,广告是浏览器的一大收入来源,哪个浏览器所拥有的用户和点击量越多,所获得的广告分成也会越多。宅宅换了几种不同的浏览器搜索“头疼”两个字,深刻体会到了用户的点击如何变为白花花的银子。

宅宅还发现,即使用户通过搜索没有点广告,确实看到了自己想要的资讯,但这些资讯旁边也会通过流量劫持出现各类虚假广告。

其实,像这种推送点广告的情形还是算是轻的,真正严重的是,如果有黑客通过流量劫持弄到你的网上银行怎么办?你以为你点的是官网,但实际上你是被劫持到一个外观看起来一模一样的假网站上,你浑然不觉地输入了账号密码,就问你怕不怕!

其实,早在2015年12月,今日头条、美团点评、360、腾讯、新浪微博、小米六家公司就联合发布了一个声明,叫《六公司关于抵制流量劫持等违法行为的联合声明》,在此声明中,这六家经常撕逼的公司异常和谐地拉起小手,共同谴责流量劫持这一“流氓”行为。

这说明,手握流量的这些巨头们,都曾被“劫持”过(至于有没有劫持过别人,贼喊追贼,恩~大家去搜吧,挺热闹的)。

不过,像神马搜索闹这么大动静,还不多见。


流量劫持怎么实现?

除了搜狗输入法的候选词流量劫持,目前无辜的用户们一般都会面临哪些劫持套路?

最常见的劫持是DNS劫持,也就是域名劫持。

我们平常上网都是习惯记域名的,比如想上百度会输入 www.baidu.com,但是机器间互相只认IP地址,他们通常长这样(213.234.1.XXX),所以DNS相当于你跟服务器之间的翻译官,他们会把  www.baidu.com  翻译成 213.234.1.XXX ,让机器读懂你的诉求,回应给你相应的页面。

问题就出现在这里,我们得到的每个回应都是来自于服务器的,比如你要下载某个小米的应用,按理来说,小米的服务器会返回给你一个正确下载地址,但在这个节骨眼上,你的请求被DNS导向给一台未知的神秘服务器,它给你发送了被掉包的下载地址。

这时,会出现两种情况,一种是你下载的应用与原版的应用功能相似,就是广告多点,使用速度慢点;还有一种情况是你直接下载了一个完全不搭界的应用。

在 PC 时代,不少人都有过下载某款软件结果被广告狂轰乱炸的体验。对于域名劫持,不仅仅是普通用户被“欺负”过,在2010年,百度的域名也曾被伊朗网军劫持过整整八个小时,造成百度有史以来最严重的服务器故障,这也成为了百度心中永远的痛。

有可能是被伤太深,在后来某款数字浏览器使用百度引流时,就遭到了百度的强烈抗议,不仅要求赔偿经济损失,还要求在其网站首页连续刊载道歉声明,删除相关微博等。据说,对方曾申请庭外和解,但遭到强硬拒绝。

第二种是数据劫持,就是在返回的内容中,偷偷加点作料。

这点很多人在用微信的过程中也遇到过,比如,看完公众号的文章下面全是上图中各种辣眼睛的小广告。

此前,乌云漏洞平台在 2015 年还曾曝出某度旗下多款 App 存在 WormHole 漏洞,在安装了某度一个软件后,黑客可以利用里面的漏洞,随意往你手机里面安装程序。

程序员曾经进行了如下测试:

在安装某度地图以后,检测到某度后台监听了手机的40310端口,它在干这些:


大家不需要看懂代码,宅宅把单词的意思翻译了一下,大意就是它不仅可以获取你手机里的APP列表、设备ID等,还可以添加联系人、打电话、发短信。

有知乎网友认为,这个漏洞其实是某度开的后门,方便把其他软件也安装进来,但这在无意中也方便了黑客进行攻击。

当然,要实现这类攻击,也许黑客还通过了运营商协助,内鬼来做更方便。


这已经不是搜狗第一次被起诉

其实,这已经不是搜狗第一次因流量劫持被起诉了,2015 年 4 月,百度就曾起诉称搜狗通过其输入法及浏览器软件劫持百度流量,索赔120万元。当年的11月,北京市海淀法院一审判决搜狗行为属于不正当竞争,要求其消除影响,并向百度赔款50万元。

这个案子跟这两天的神马搜索所状告的内容基本一样:用户在搜索引擎中使用搜狗输入法输入文字,搜狗输入法输入框自动以下拉提示词的形式出现搜索候选,点击任一搜索候选词,均进入搜狗搜索结果页面。

上图已经是改良后的,以前直接点击候选答案就会进入搜狗的页面。

当时,在法院的宣判中,对搜狗的这一行为进行了公开的否定。

其实,互联网巨头们很多都在流量劫持这件事上栽过,宅宅发现大家都是互相告来告去的,那在之前的案子中,究竟这类情况该怎么判,才能对流量劫持起到震慑作用?

杭州师范大学法学院讲师孙益武近年来一直在研究流量劫持的案子,他认为这次神马搜索与搜狗的案子与2015年百度与搜狗的案子有相近之处。虽然目前并没有针对类似案件的具体法规和条例,但此前法院的判决中对目前的案子有借鉴意义。

当时法院认为,搜狗输入法搜索候选功能的默认开启,以及将搜索引擎默认设置为搜狗搜索,结合搜狗输入法下拉提示词式的搜索候选提供方式,将会使一部分具有选择、使用百度搜索引擎预期的用户,在不知情的情况下,基于已经形成的对百度搜索引擎下拉列表的使用习惯,直接随手点击搜索候选,从而进入搜狗搜索结果页面。

这违背了部分用户选择百度搜索引擎进行搜索的初衷,干扰了用户对百度搜索引擎的使用,并会造成部分用户对搜索结果来源的混淆,也导致百度公司部分流量的损失。

孙益武认为,此前的案件已经从司法角度确立了“避让原则”,要求搜狗“必须考虑用户在先使用百度搜索的意愿,避免与百度服务混淆”。这个原则具体体现为,经营者在自己产品上有自主经营的自由,但经营者在自己产品上开展经营活动并非绝对自由,对他人已使用在先、并为消费者所熟悉或习惯的服务提供方式应有一定避让义务,以免造成消费者混淆、误认的后果,不正当夺取他人产品或服务的商业机会。

参考来源:知乎、csdn

雷锋网宅客频道招人了!


招聘岗位:

网络安全编辑(采编岗)



工作内容:

主要负责报道国内外网络安全相关热点新闻、会议、论坛、公司动向等;采访国内外网络安全研究人员,撰写原创报道,输出领域的深度观点;针对不同发布渠道,策划不同类型选题;参与打理宅客频道微信公众号等。

岗位要求:

对网络安全有兴趣,有相关知识储备或从业经历更佳;

科技媒体1-2年从业经验;

有独立采编和撰写原创报道的能力;

加分项:网感好,擅长新媒体写作、90后、英语好、自带段子手属性……


你将获得的是:

与国内外网络安全领域顶尖安全大牛聊人生的机会;

国内出差可能不新鲜了,我们还可以硅谷轮岗、国外出差(+顺便玩耍);

你将体验各种前沿黑科技,掌握一手行业新闻、大小公司动向,甚至是黑客大大们的独家秘闻;

老司机编辑手把手带;

以及与你的能力相匹配的薪水。

坐标北京,简历投递至:liqin@leiphone.com



蓝字查看更多精彩内容


探索篇

  暗网【上】|  暗网【下

草榴社区 女鉴黄师 | 以图搜图

心脏滴血 撞库攻击 | 潜行追踪

刷票 | 人肉 | 勒索 | 内鬼

超级欺骗系统


真相篇

战斗民族野生聊天 App

草榴社区这类色情网站为什么封不掉

什么样的漏洞买得起北京二环一套房?

上了个“假”黄网,误入了7亿黑产的大门

13岁小黑客自学一年挖到了微软、谷歌的漏洞

中学教材现黄色网站 人教社回应遭网友质疑

干货!top白帽子 Gr36_ 手把手教你挖漏洞

我们可以用“免疫系统”对抗黑客入侵吗?

这位叔叔要教勒索软件一些做人的道理

有个网站叫“我知道你下载了什么”

无线电攻击居然还能用来打飞机

“道哥”透露从业初心


人物篇


道哥:重回阿里的29个月

黑客老王:一个人的黑客史

吴石:站在0和1之间的男人

黑客衰大:45天攻入姑娘的心

黑客段子手“呆子不开口”

“特斯拉破解第一人”刘健皓

唐青昊:虚拟世界的越狱者

MOSEC:盘古团队的野心优雅

让周鸿祎“三顾茅庐” 的 黑客 MJ

美女黑客张婉桥的“爱丽丝奇遇记”

TK教主和玄武实验室的几个小故事

把老婆训练成女黑客的漏洞大神黄正

“真爱”黑客 Fooying 手把手教你追妹子


更多精彩正在整理中……

---

“喜欢就赶紧关注我们”

宅客『Letshome』

雷锋网旗下业界报道公众号。

专注先锋科技领域,讲述黑客背后的故事。

长按下图二维码并识别关注


登录查看更多
0

相关内容

【实用书】Python爬虫Web抓取数据,第二版,306页pdf
专知会员服务
117+阅读 · 2020年5月10日
【ACL2020-Google】逆向工程配置的神经文本生成模型
专知会员服务
16+阅读 · 2020年4月20日
【SIGMOD2020-腾讯】Web规模本体可扩展构建
专知会员服务
29+阅读 · 2020年4月12日
【WWW2020-微软】理解用户行为用于文档推荐
专知会员服务
35+阅读 · 2020年4月5日
阿里巴巴达摩院发布「2020十大科技趋势」
专知会员服务
106+阅读 · 2020年1月2日
【阿里技术干货】知识结构化在阿里小蜜中的应用
专知会员服务
97+阅读 · 2019年12月14日
清华大学张敏老师,个性化推荐的基础与趋势,145页ppt
专知会员服务
86+阅读 · 2019年11月27日
【BAAI|2019】类脑神经网络技术及其应用,鲁华祥(附pdf)
专知会员服务
29+阅读 · 2019年11月21日
Keras作者François Chollet推荐的开源图像搜索引擎项目Sis
专知会员服务
29+阅读 · 2019年10月17日
微软小冰:全双工语音对话详解
AI100
7+阅读 · 2019年2月10日
携程的旅游知识图谱构建和应用
数据猿
37+阅读 · 2018年12月31日
百度的广告和今日头条的广告
keso怎么看
8+阅读 · 2018年2月9日
AI算法起家的今日头条为何败给了色情?
大数据技术
4+阅读 · 2018年1月5日
谈谈用户画像
caoz的梦呓
10+阅读 · 2017年8月17日
Question Generation by Transformers
Arxiv
5+阅读 · 2019年9月14日
Arxiv
4+阅读 · 2016年12月29日
VIP会员
相关VIP内容
【实用书】Python爬虫Web抓取数据,第二版,306页pdf
专知会员服务
117+阅读 · 2020年5月10日
【ACL2020-Google】逆向工程配置的神经文本生成模型
专知会员服务
16+阅读 · 2020年4月20日
【SIGMOD2020-腾讯】Web规模本体可扩展构建
专知会员服务
29+阅读 · 2020年4月12日
【WWW2020-微软】理解用户行为用于文档推荐
专知会员服务
35+阅读 · 2020年4月5日
阿里巴巴达摩院发布「2020十大科技趋势」
专知会员服务
106+阅读 · 2020年1月2日
【阿里技术干货】知识结构化在阿里小蜜中的应用
专知会员服务
97+阅读 · 2019年12月14日
清华大学张敏老师,个性化推荐的基础与趋势,145页ppt
专知会员服务
86+阅读 · 2019年11月27日
【BAAI|2019】类脑神经网络技术及其应用,鲁华祥(附pdf)
专知会员服务
29+阅读 · 2019年11月21日
Keras作者François Chollet推荐的开源图像搜索引擎项目Sis
专知会员服务
29+阅读 · 2019年10月17日
相关资讯
微软小冰:全双工语音对话详解
AI100
7+阅读 · 2019年2月10日
携程的旅游知识图谱构建和应用
数据猿
37+阅读 · 2018年12月31日
百度的广告和今日头条的广告
keso怎么看
8+阅读 · 2018年2月9日
AI算法起家的今日头条为何败给了色情?
大数据技术
4+阅读 · 2018年1月5日
谈谈用户画像
caoz的梦呓
10+阅读 · 2017年8月17日
Top
微信扫码咨询专知VIP会员