今天，你被运营商 上 了么？

如今这年头，没被运营商“上”过（劫持）都不好意思说自己是中国网民！

据《中国互联网络发展状况统计报告》统计称，截止2015年12月，中国互联网用户数已达 6.88 亿，互联网普及率为 50.3 %；同时显示，我国手机网民规模达 6.20亿，有90.1% 的网民通过手机上网。这是什么概念？相当于每两个中国人中，就有一个人给宽带运营商付费并使用其提供的上网服务，而且几乎每人都使用移动终端。

巨大的商机下暗流涌动，怎可能收个宽带费就满足？！所以，网络流量劫持也成了中国互联网成长过程中撇不清的话题。如利用DNS污染、JS投毒、特定请求重定向等手段对搜索结果、广告、网页内容甚至下载文件进行劫持。轻则对正常网络体验造成影响，重则对网络信息真实性甚至我们账号安全隐私造成风险（一会儿回来在看这个：你们以为运营商只是HTTP插点广告而已么，图森破啊-> http://zone.wooyun.org/content/2507）

电脑端的流量劫持已屡见不鲜。但随着移动互联网的崛起，一双双的黑手也伸向了移动终端用户，体现比如明明在官方可信渠道（商城）下载的手机软件，结果安装后发现竟然是其他毫不相干的APP！

这种抱怨简直不能太多，有位白帽子的朋友被劫持，然后他亲自帮朋友调查了下这个过程，报告到了乌云 疑似某基于运营商流量的APK劫持推广系统存漏洞（每天高达百万计的劫持数据统计） ，今天就是解读这位白帽中其中所发现的细节。

事件起源是白帽子某位唐山的兄弟说自己下载小米商店应用，无论是手机端还是 PC 端，下载到本地都会变成了 『UCBrowserV10.9.0.703XXX_(Build151211143335).apk』-- UC 浏览器，如上图。

白帽通过抓包发现在该运营商网络下，所有的apk请求（Android软件安装包）都会被重定向到一个神秘的系统，然后下载地址就被悄悄的替换掉了。

不管怎样这个系统就是问题的关键，白帽打开这个IP后看到了一个『安装分发平台』。乌云君曾想象做这种流量劫持苟且之事的系统都是非常隐秘并且简陋的，这个系统这么高调并且似乎已经成熟化了，简直不能理解。这个互联网太没有安全感了。

可惜，信息安全上还没那么成熟，这系统上所做的事情和记录都是可以轻易访问到的。白帽子发现这个系统对每天对用户的劫持行为都进行了详细的记录。

记录包括：来源地区、用户关键字、用户下载的apk、被替换的apk、用户IP、劫持时间等，这个应该是用来做费用结算的。

上图是一些下载小米商店和爱奇艺客户端的用户，都被悄悄的替换为UC浏览器安装包了。通过这系统自己的统计得知，每日的成功劫持数量少则六七十万、多则一百多万的劫持量，这只是一个准二线城市的量级。

时间			劫持数量 20151228		642857 20151229		792764 20151230		829208 20151231		974141 20160101		968162 20160102		802980 20160103		751637 20160104		893009 20160105		1200640 20160106		1516445 20160107		972950

社区里的白帽子还提供过更大的运营商劫持记录，百万其实也算少的，如果这种系统被黑客通过漏洞控制，批量下发恶意手机木马，那会是谁的责任？

好说这么多，这到底是哪家运营商做的劫持？CNCERT对该漏洞的通报与反馈来看，你们说是哪家？

已经转由CNCERT向中国电信集团公司、中国移动集团公司、中国联合网络通信集团有限公司通报，根据反馈情况，已经由中国电信进行后续处置。

近期互联网流量劫持的大事件：

• 去年，一起因流量劫持导致的恶意牟利案例判例产生，作案者被判三年，这也是国内首次在司法层面将商业性质的网络流量劫持认定为犯罪（刑事案件）。攻击者利用DNS劫持手段将某企业的用户流量导给其竞争对手已谋取暴利，报道可见 流量劫持 ＝ 犯罪！国内首起判例产生，作案者被判三年。

  
  

• 然后同年底，国内六家大型互联网企业也坐不住了，联合发表抵制流量劫持等违法行为的声明，腾讯、360、小米等 6 家公司联名抵制流量劫持，称已向监管机构报案，然后企业陆续起用HTTPS技术来保护自己的流量不被中间恶意篡改。说到底还是这种劫持行为已经深深的影响了企业的利益。

  
  

• 最后也就是前几天，二十年都没更新过的《反不正当竞争法》中，特别对网络流量劫持进行约束，可见其影响与国家层面对此的重视：
  

第十三条 　经营者不得利用网络技术或者应用服务实施下列影响用户选择、干扰其他经营者正常经营的行为：
（一）未经用户同意，通过技术手段阻止用户正常使用其他经营者的网络应用服务；
（二）未经许可或者授权，在其他经营者提供的网络应用服务中插入链接，强制进行目标跳转；
（三）误导、欺骗、强迫用户修改、关闭、卸载或者不能正常使用他人合法提供的网络应用服务；
（四）未经许可或者授权，干扰或者破坏他人合法提供的网络应用服务的正常运行。

目前来看，虽然流量劫持行为仍然在互联网横行，但至少从社会以及企业已经主动的在法律、技术手段进行对抗，这将是一个很大的进步！希望安全感能重回大家心中。

微信号：wooyun_org
WooYun是一个位于厂商和安全研究者之间的安全问题反馈平台。

微信内限制外链，点击下方“阅读原文”可查看完整版本与清晰内容图。

本文始发于微信公众号（乌云漏洞报告平台）：今天，你被运营商 “上” 了么？