火绒安全软件

标题: “去广告”插件云控劫持流量产品官网假坦然“求同情” [打印本页]

作者: huoronganquan 时间: 2020-2-21 19:19
标题: “去广告”插件云控劫持流量产品官网假坦然“求同情”
【快讯】近日，火绒根据用户反馈，分析发现一款名为“广告净化器”的浏览器插件存在流量劫持功能：通过替换计费名（和上游分成的标识）的方式来劫持用户“京东”和“淘宝”链接的计费号。当插件设置中的“支持开发者”选项被勾选后（插件安装后该选项即默认勾选），就会开启劫持逻辑；但即使用户取消勾选，该插件作者也可随时通过云控打开劫持开关开启劫持逻辑。

插件官方公告截图

我们还发现该插件开发者在官方公告中“坦然”公开上述行为：“如果访问的链接是带有推广的链接就会替换成广告净化器得推广链”，并“解释”此举是为了维持生存。但殊不知，该行为本质上就是在盗取其它推广商的推广来获取不当利益。并且，该作者在代码中故意放置云控开关的行为，显然也与上述声明试图表达的“坦然”相违背。目前，火绒最新版本已对其进行拦截查杀。

火绒工程师溯源发现，“广告净化器“插件曾在2015年就因为其劫持行为被某插件中心强制下架。但该插件并没有停止劫持，反而增加云控开关加强了流量劫持行为的隐蔽性。在此，火绒也呼吁此类厂商，维护用户权益、理性逐利，企业才能长久发展。

附：【分析报告】

一、详细分析
近期，火绒接到用户反馈，名为广告净化器的Chrome插件在过滤广告内容的同时会劫持用户流量。通过我们对该插件的分析，我们发现广告净化器Chrome插件中存在恶意广告劫持功能，且劫持功能可以通过两种方式激活： “支持开发者”开关和插件作者的云控开关。即使用户关闭“支持开发者”开关，插件作者也可以根据推广需求下发任意劫持规则到用户本地进行流量劫持。插件界面，如下图所示：

插件功能界面

流量劫持和广告过滤规则配置中，存在大量劫持规则，劫持规则会将reload关键字左边的匹配到的请求链接劫持为关键字右侧的网址链接。被劫持链接主要包括京东和淘宝链接，如当用户在网站页面中点击跳转地址为https://s.click.taobao.com/6LsiqAx的链接时，会被劫持为https://s.click.taobao.com/Qc***gw 。劫持配置，如下图所示：

以上文中所提到的带有“6LsiqAx”的劫持规则举例，劫持现象，如下图所示：

劫持网页请求

劫持后最终跳转链接地址

广告净化器插件中的劫持规则均使用reload规则关键字，而“支持开发者”开关和插件作者控制的云控开关（compress）都会影响reload规则是否生效。当compress为false时，即会执行劫持规则。相关代码，如下图所示：

reload劫持规则执行相关代码

插件启动两秒后，会通过C&C服务器地址（hxxp:// tools.yiclear.com/FiltersInfo.json）获取劫持和广告过滤配置，配置中包含有劫持云控开关（compress）相关数据内容。相关代码，如下图所示：

云控配置更新代码

广告净化器插件当前获取到的云控配置数据中，云控开关（compress）的值为true，即不开启云控开关（可参考前文代码）。如下图所示：

云控配置

广告净化器插件的恶意劫持行为可以追溯到2015年，当时也因为其插件的劫持行为被360极速浏览器从插件扩展中心中强制下架。但是后续劫持行为并没有被制止，反而增加云控开关加强了流量劫持行为的隐蔽性。广告净化器插件官网中，也曾用户反馈过相关劫持情况，官方给出的回复为关闭“支持开发者”开关。但根据我们前文中的分析结果来看，即使关闭“支持开发者”开关也有被劫持的可能。相关用户反馈，如下图所示：

广告净化器插件官网相关用户反馈

二、附录
样本hash

作者: 柠檬水好好喝 时间: 2020-2-21 19:33
抢个楼qwq

作者: TMzxc 时间: 2020-2-21 19:46

第二

作者: bv8800 时间: 2020-2-21 19:53
第三！！！

作者: 176340 时间: 2020-2-21 21:01
我用的火狐浏览器就是用广告净化器，感觉效果不错的，看来得换了，哪位大佬还有没有其他火狐浏览器的广告拦截插件推荐一下

作者: zay365 时间: 2020-2-21 21:07
reaper第一眼看成了raper

作者: 什么都没留下 时间: 2020-2-21 21:07

176340 发表于 2020-2-21 21:01
我用的火狐浏览器就是用广告净化器，感觉效果不错的，看来得换了，哪位大佬还有没有其他火狐浏览器的广告拦 ...

uBlock Origin挺好的

作者: taitan001 时间: 2020-2-21 22:32
用了广告净化器应该有快半年了吧，最近发现开一些网站时不时会非常慢还以为是网站问题，现在终于知道原因了，是这插件流量劫持，赶紧删了换成ublock了，这下全部都正常了

作者: 心醉咖啡 时间: 2020-2-22 12:53
作者6的不行

作者: 176340 时间: 2020-2-22 13:54

什么都没留下发表于 2020-2-21 21:07
uBlock Origin挺好的

装上了，谢谢老哥，顺便问下默认设置就行了吗还是需要设置一下

作者: 绿坝-花季护航 时间: 2020-2-22 14:16

“广告净化器“插件曾在2015年就因为其劫持行为被某插件中心强制下架

当时也因为其插件的劫持行为被360极速浏览器从插件扩展中心中强制下架

不是同一个写的吧

作者: johnt 时间: 2020-2-22 14:22
他这种行为应该已经算犯罪了吧
另外这年头还有人用这种SB玩意吗，好的广告屏蔽插件一大把，最好的是uBlock

作者: zay365 时间: 2020-2-22 18:02

绿坝-花季护航发表于 2020-2-22 14:16
不是同一个写的吧

上次舟大师的那篇文字里说某安全厂商，图片里写了360

作者: zay365 时间: 2020-2-22 18:03

绿坝-花季护航发表于 2020-2-22 14:16
不是同一个写的吧

https://bbs.kafan.cn/thread-2173123-1-1.html
文中都说了360还把图片给打码了

作者: iihuorong 时间: 2020-2-23 00:55

zay365 发表于 2020-2-22 18:02
上次舟大师的那篇文字里说某安全厂商，图片里写了360

火绒可以杀舟大师么？

作者: taitan001 时间: 2020-2-23 11:43

心醉咖啡发表于 2020-2-22 12:53
作者6的不行

chrome商店搜不到了，应该也是下架了，官网也直接被火绒拦截了，前两天只是跳出来提示，现在直接默认拦截打不开

作者: 纯白色丶诺言 时间: 2020-2-25 20:08

176340 发表于 2020-2-21 21:01
我用的火狐浏览器就是用广告净化器，感觉效果不错的，看来得换了，哪位大佬还有没有其他火狐浏览器的广告拦 ...

广告终结者

作者: 到处闲逛 时间: 2020-2-26 16:11
流氓无处不在

作者: a77841s 时间: 2020-2-26 21:00
也順便分析一下cloudopt吧，最近似乎在宣傳呢

作者: 苏三 时间: 2020-2-27 19:50

什么都没留下发表于 2020-2-21 21:07
uBlock Origin挺好的

uBlock Origin 加乘风规则极速浏览器 3打主流视频网站视频广告去不了
这个可以的没有了

现在谷歌浏览器加广告终结者可以现在做广告没有几个了

作者: 米修米修ne 时间: 2020-2-28 21:31
卧槽，这个插件我用三四年了，还奇怪为啥最近官网挂了

作者: 海珊瑚 时间: 2020-2-29 12:10
** 唯一好用的去广告插件被你们搞了作为我们普通用户我们要的功能很简单打开网页没有广告就完了
第一次深深地讨厌火绒

作者: 海珊瑚 时间: 2020-2-29 12:13

176340 发表于 2020-2-21 21:01
我用的火狐浏览器就是用广告净化器，感觉效果不错的，看来得换了，哪位大佬还有没有其他火狐浏览器的广告拦 ...

就那个好用其他的都是垃圾了

作者: 海珊瑚 时间: 2020-2-29 12:14

米修米修ne 发表于 2020-2-28 21:31
卧槽，这个插件我用三四年了，还奇怪为啥最近官网挂了

唯一好用的被搞没了 **

作者: 米修米修ne 时间: 2020-2-29 13:46

海珊瑚发表于 2020-2-29 12:13
就那个好用其他的都是垃圾了妈的火绒你大爷的搞什么啊

拜托，那是他自己停更了，又不是火绒害死的。火绒把他背后的小动作揪出来也有错？他自己说的只改首页，结果悄悄把电商返利也劫持了，这种情况下还能完全相信他？ABP它不香？

作者: yanzhiling 时间: 2020-2-29 16:20
重装了系统刚想装这个，第一次见被火绒拦截的网站，原来是这回事

作者: zoushengyu 时间: 2020-3-2 11:49
混入其中

作者: 不指望 时间: 2020-3-2 20:00
本帖最后由不指望于 2020-3-9 10:16 编辑

说真，也是因为视频广告认识了它，的确为我们挽回了好多被劫持时间。
在没有下一个好用的顶上之前，我考虑继续留用，毕竟除此之外还是有可圈点的地方，
支持作者的初心，忽视利欲熏心，为扩展排除楼主提到的那几个站点。

有没有大神剥离掉这些猫腻，净化净化。

作者: xqx 时间: 2020-3-11 17:50

不指望发表于 2020-3-2 20:00
说真，也是因为视频广告认识了它，的确为我们挽回了好多被劫持时间。
在没有下一个好用的顶上之前，我考虑 ...

广告净化器的作者不更新了，而乘风规则又能过滤三大视频网站了，优酷通过加速变向去广告，也算能用吧。

作者: huohuorong 时间: 2020-3-16 11:34

176340 发表于 2020-2-21 21:01
我用的火狐浏览器就是用广告净化器，感觉效果不错的，看来得换了，哪位大佬还有没有其他火狐浏览器的广告拦 ...

我用的就是火狐浏览器广告屏蔽用的浏览器里推荐的uBlock Origin插件很好用，你可试试

作者: 20091214 时间: 2020-3-26 16:46

心醉咖啡发表于 2020-2-22 12:53
作者6的不行

你这个可以通过更改从F12调出的菜单更改

作者: 楼治辰 时间: 2020-3-27 15:42

176340 发表于 2020-2-21 21:01
我用的火狐浏览器就是用广告净化器，感觉效果不错的，看来得换了，哪位大佬还有没有其他火狐浏览器的广告拦 ...

Adblock Plus，老牌的广告拦截器（好像是业界首个）

作者: 浮生不堕 时间: 2020-3-27 16:20
给力的火绒

作者: 洛丹伦的晚上 时间: 2020-3-27 17:34
没用过这个浏览器插件

作者: 裸奔的电脑 时间: 2020-3-29 21:40
楼主，我希望可以还广告净化器一个公道，他并不是像那篇文章里说的那样不堪，跟个坏人似的，现在开发者都不做那个扩展了，我想起了微软放弃自己的亲儿子IE。

作者: 绿坝-花季护航 时间: 2020-3-31 17:35

裸奔的电脑发表于 2020-3-29 21:40
楼主，我希望可以还广告净化器一个公道，他并不是像那篇文章里说的那样不堪，跟个坏人似的，现在开发者都不 ...

微软放弃是因为IE做的太垃圾没人用,维护也难,IE可没干劫持流量的事情

作者: fans001 时间: 2020-4-3 10:49

海珊瑚发表于 2020-2-29 12:10
** 唯一好用的去广告插件被你们搞了作为我们普通用户我们要的功能很简单打开网页没有广告就完了 ...

不说还不知道有这么好用的插件，还能在哪里下载到吗？

作者: 海珊瑚 时间: 2020-4-6 21:49

fans001 发表于 2020-4-3 10:49
不说还不知道有这么好用的插件，还能在哪里下载到吗？

能下载但作者不更新了

作者: fans001 时间: 2020-4-7 10:07

海珊瑚发表于 2020-4-6 21:49
能下载但作者不更新了

好的，多谢了~

作者: net909 时间: 2020-6-3 10:42
我倒是认为插件这种行为无所谓，对于普通用户来说，能有效屏蔽各类广告就行。只是对于一些网站站长等联盟推广人不利

欢迎光临火绒安全软件 (https://bbs.huorong.cn/)