火绒威胁情报中心近期监测到一款专门锁定浏览器主页的应用正加速蔓延。经溯源,该源头指向搜狗输入法。据悉,搜狗输入法通过 Shiply 终端基础发布通用模块,向云端请求控制配置。
在下发这些云控配置中,会结合用户画像:例如所在地区、时间等诸多维度进行精准推送。由于 Shiply 平台本身具备灰度发布能力,据此推测,攻击者很可能先通过小范围灰度测试验证效果,再进行大规模传播。
其推广模块会首先检测用户设备上的杀毒软件,随后通过篡改配置文件的方式,强制修改 Edge 与 Chrome 两款主流浏览器的主页及默认搜索引擎设置。目前,火绒安全产品可对上述推广模块进行拦截与查杀。
🔞 阅读全文:《搜狗输入法云控下发模块,“暗中”篡改浏览器配置》
老殁提醒
输入法的输入功能变成了一个微不足道的附加功能,推广和作恶成了产品的主功能。
篡改浏览器配置,只是流氓行为一直,早前就有用户反映它还篡改PDF等文件格式给利益软件。
也解除了我之前的疑问,为什么接触过的ZF系统尤其是WA部门不让装这类基础软件。
最后,2021年,搜狗成为腾讯全资子公司,搜狗输入法与QQ输入法合并,QQ输入法交给搜狗维护,之后QQ输入法停止更新。
