2020.02.23   Android App > 看点     
浏览:33816

小心 广告过滤插件 劫持流量,把你当韭菜割

据网友消息,“广告防御者”插件的老大被抓进去了,广告过滤插件团队宣布停更。

老殁对广告过滤插件一直是非常的排斥,原因很简单,他们打着广告过滤的幌子,搞黑产牟利,因为我曾经发布过几篇文章揭露他们,我网站的域名还被他们恶意加到了黑名单进行屏蔽。

打着屏蔽广告的幌子,篡改网址,收费搞白名单,一个团队制造十几款所谓的广告过滤差价,大规模作恶盈利,还要口口声声谈良心,该。

各位,不要处处当韭菜。

老殁,殁漂遥,laomoit.com,shaoit,laomo.me,mopiaoyao

以下文章,来自火绒安全

近日,知名安全服务商“火绒安全”根据用户反馈,分析发现一款名为“广告净化器”的浏览器插件存在流量劫持功能:通过替换计费名(和上游分成的标识)的方式来劫持用户“京东”和“淘宝”链接的计费号。当插件设置中的“支持开发者”选项被勾选后(插件安装后该选项即默认勾选),就会开启劫持逻辑;但即使用户取消勾选,该插件作者也可随时通过云控打开劫持开关开启劫持逻辑。

老殁,殁漂遥,laomoit.com,shaoit,laomo.me,mopiaoyao

插件官方公告截图

我们还发现该插件开发者在官方公告中“坦然”公开上述行为:“如果访问的链接是带有推广的链接就会替换成广告净化器得推广链”,并“解释”此举是为了维持生存。但殊不知,该行为本质上就是在盗取其它推广商的推广来获取不当利益。并且,该作者在代码中故意放置云控开关的行为,显然也与上述声明试图表达的“坦然”相违背。目前,火绒最新版本已对其进行拦截查杀。

老殁,殁漂遥,laomoit.com,shaoit,laomo.me,mopiaoyao

火绒工程师溯源发现,“广告净化器“插件曾在2015年就因为其劫持行为被某插件中心强制下架。但该插件并没有停止劫持,反而增加云控开关加强了流量劫持行为的隐蔽性。在此,火绒也呼吁此类厂商,维护用户权益、理性逐利,企业才能长久发展。

附:【分析报告】

一、 详细分析

近期,火绒接到用户反馈,名为广告净化器的Chrome插件在过滤广告内容的同时会劫持用户流量。通过我们对该插件的分析,我们发现广告净化器Chrome插件中存在恶意广告劫持功能,且劫持功能可以通过两种方式激活: “支持开发者”开关和插件作者的云控开关。即使用户关闭“支持开发者”开关,插件作者也可以根据推广需求下发任意劫持规则到用户本地进行流量劫持。插件界面,如下图所示:

老殁,殁漂遥,laomoit.com,shaoit,laomo.me,mopiaoyao

插件功能界面

流量劫持和广告过滤规则配置中,存在大量劫持规则,劫持规则会将reload关键字左边的匹配到的请求链接劫持为关键字右侧的网址链接。被劫持链接主要包括京东和淘宝链接,如当用户在网站页面中点击跳转地址为https://s.click.taobao.com/6LsiqAx的链接时,会被劫持为https://s.click.taobao.com/Qc•••gw 。劫持配置,如下图所示:

老殁,殁漂遥,laomoit.com,shaoit,laomo.me,mopiaoyao

以上文中所提到的带有“6LsiqAx”的劫持规则举例,劫持现象,如下图所示:

老殁,殁漂遥,laomoit.com,shaoit,laomo.me,mopiaoyao

劫持网页请求

老殁,殁漂遥,laomoit.com,shaoit,laomo.me,mopiaoyao

劫持后最终跳转链接地址

广告净化器插件中的劫持规则均使用reload规则关键字,而“支持开发者”开关和插件作者控制的云控开关(compress)都会影响reload规则是否生效。当compress为false时,即会执行劫持规则。相关代码,如下图所示:

老殁,殁漂遥,laomoit.com,shaoit,laomo.me,mopiaoyao

reload劫持规则执行相关代码

插件启动两秒后,会通过C&C服务器地址(hxxp:// tools.yiclear.com/FiltersInfo.json)获取劫持和广告过滤配置,配置中包含有劫持云控开关(compress)相关数据内容。相关代码,如下图所示:

老殁,殁漂遥,laomoit.com,shaoit,laomo.me,mopiaoyao

云控配置更新代码

广告净化器插件当前获取到的云控配置数据中,云控开关(compress)的值为true,即不开启云控开关(可参考前文代码)。如下图所示:

老殁,殁漂遥,laomoit.com,shaoit,laomo.me,mopiaoyao

云控配置

广告净化器插件的恶意劫持行为可以追溯到2015年,当时也因为其插件的劫持行为被360极速浏览器从插件扩展中心中强制下架。但是后续劫持行为并没有被制止,反而增加云控开关加强了流量劫持行为的隐蔽性。广告净化器插件官网中,也曾用户反馈过相关劫持情况,官方给出的回复为关闭“支持开发者”开关。但根据我们前文中的分析结果来看,即使关闭“支持开发者”开关也有被劫持的可能。相关用户反馈,如下图所示:

老殁,殁漂遥,laomoit.com,shaoit,laomo.me,mopiaoyao

广告净化器插件官网相关用户反馈

二、 附录

老殁,殁漂遥,laomoit.com,shaoit,laomo.me,mopiaoyao

样本hash

🐧 Q Q 群
💌 失 效 反 馈
♻️ 账 号 权 限
👍 点 赞 支 持

相关推荐

发表评论

账号权限在注册前已写明
  1. enix1029 140.206.138.190 Win7 Maxthon 5.0  Δ31楼 2020-02-26 12:02:58
    我前阵子下载试用 , 范围选择很好用, 平时用的Maxthon 虽然也有adb, 但不支持页面直接选择,只能自己去配顾虑脚本 , Chrome上发现了这个, 还是不错的, 可惜看了本文后也觉得中招了
  2. tangjihe0 23.98.33.85 Win10+ Chrome 80.0.3987.122  Δ32楼 2020-02-25 18:51:59
    广告拦截插件还是选择AdBlock或者uBlock Origin这种开放源码和拦截规则的久经考验的产品。用一个软件之前一定要清楚开发者如何盈利,免费还没广告那就是要坑你。
  3. SlenderMan 183.167.113.119 Win10+ Chrome 78.0.3904.108  Δ33楼 2020-02-25 17:00:21
    我擦,我之前就怀疑我经常会碰到每隔一会儿打开京东就会跳转的情况应该就是因为这个插件了,好在有人扒皮了
  4. 自己咯好 222.244.251.234 Android10 Chrome 57.0.2987.108  Δ34楼 2020-02-25 15:24:57
    没有比这个更好用的,包括ublock和乘风。 这个是返利? 可是电脑页面从来不网购, 手机更方便, 所以按结果来说, 对用户来说却是一种体验消失。 当然作者后门是不道德, 但是呢,哪个脚本都可以做到这个, 除非不用或者作者自律, 连微软系统或者浏览器都是有后门的。 只能说可惜, 希望有另一个完美替代品出现。 就像greenchrome,后门就在那里,就看作者了 换成chrome++就没后门吗
    • DengLi 120.239.146.71 Win7 Chrome 80.0.3987.122  ∇地下1层 2020-02-28 11:20:32
      确实
    • 狐狸 115.227.139.234 Win7 Chrome 78.0.3904.108  ∇地下1层 2020-03-14 22:38:44
      我信shuax的为人,所以很放心他的东西 你不能因为自己不用,就为了一个罪犯辩解
  5. test 35.220.210.66 Android9 Chrome 69.0.3497.100  Δ35楼 2020-02-25 14:46:55
    主要是这个可以屏蔽视频广告,没想到关闭了还能劫持,还有其他可以屏蔽视频广告的插件吗
    • shk1106 60.166.41.34 Win7 Chrome 80.0.3987.122  ∇地下1层 2020-02-25 17:03:07
      百度下 乘风规则
    • 000 171.40.217.86 Win10+ Firefox 74.0  ∇地下1层 2020-03-30 21:24:54
      安装Tampermonkey再安装“计时器掌控者”脚本即可 https://greasyfork.org/zh-CN/scripts/372673-%E8%AE%A1%E6%97%B6%E5%99%A8%E6%8E%8C%E6%8E%A7%E8%80%85-%E8%A7%86%E9%A2%91%E5%B9%BF%E5%91%8A%E8%B7%B3%E8%BF%87-%E8%A7%86%E9%A2%91%E5%B9%BF%E5%91%8A%E5%8A%A0%E9%80%9F%E5%99%A8 https://greasyfork.org/zh-CN/scripts/372673-%E8%AE%A1%E6%97%B6%E5%99%A8%E6%8E%8C%E6%8E%A7%E8%80%85-%E8%A7%86%E9%A2%91%E5%B9%BF%E5%91%8A%E8%B7%B3%E8%BF%87-%E8%A7%86%E9%A2%91%E5%B9%BF%E5%91%8A%E5%8A%A0%E9%80%9F%E5%99%A8

您必须 [ 登录 ] 才能发表留言!(因假邮箱IP、攻击泛滥,暂时停止游客评论)