您正在使用IE低版浏览器,为了您的雷峰网账号安全和更好的产品体验,强烈建议使用更快更安全的浏览器
此为临时链接,仅用于文章预览,将在时失效
政企安全 正文
发私信给史中
发送

17

面对运营商的“强上”,我们应该如何反击?

本文作者:史中 2016-03-02 11:26
导语:答案是:“花钱”。但绝不是给运营商花钱。

最近,运营商对于用户流量劫持的玩法变本加厉。原本只是莫名其妙地弹出广告和流量提示,最近却又用户发现,无论下载什么App,都会被运营商换成UC浏览器。

这种玩法,让被运营商“强上”多年的网友决定不再沉默。不仅如此,包括小米在内的六家互联网企业也决定加入讨伐运营商的大军。(可参考我雷文章《小米们要“造反”,开撕三大运营商》

网民和互联网公司罗列的运营商“罪行”大致如下:

  • 劫持用户浏览器,强制跳转到指定网页

  • 劫持新闻类App,强制弹出广告和促销信息(其实是低俗的广告和low爆了的促销信息)

  • 劫持商城类App,强制用户下载特定的App

面对运营商的“强上”,我们应该如何反击?

【一个典型的被某运营商“强上”的场景】

仔细想来,如果这些遭遇每天都发生在我们身上,还真是有一种生无可恋的感觉。那么,运营商面对这波声讨的浪潮,会选择收敛吗?很多网友表示:

  • 平胸而论,这次讨伐的胜算几乎为零。

  • 胳膊拧不过大腿,蛐蛐挡不住火箭。

  • 全国人民都买小米,怕是也干不过运营商。

面对这样的局面,我们要积极地开展自救。下面才是重点。

流量劫持的伎俩很简单

这里有一个悲伤的事实:大部分的流量劫持之所以会发生,一方面是因为劫持者没有操守,另一方面是因为被劫持者没有做好防护。通俗地讲,在痛斥小偷摸走你钱包的同时,也要反省自己的疏忽大意。

用户自身“漏洞”百出,就增加了被运营商“强上”的几率。这里的漏洞指的是:网络协议

目前,绝大多数的网络通信都在使用“http”协议,就是我们在网址开头经常能看到的那个东西。这个协议“丧心病狂”地采用了明文传输,也就是说,用户和站点进行交流的时候,所有的中间环节都可以轻松查看数据内容,而负责数据传输的运营商当然有机会替换掉其中的数据内容。打个比方:

你给女朋友互相写情书,但是你们发出的信件居然连信封都没有,而送信的邮差恰恰是个流氓。。。(画面太美,想象不下去了)

原谅“http”吧,这个协议已经被使用了20多年了。在当初“http”被发明出来的时候,世界还处在“夜不闭户,道不拾遗”的状态。怎么说呢,我们再也回不去了。。。

如果用户使用网页访问资讯,那么流量中既包含了通信数据,也包含了网页界面代码。掌握了所有网页界面之后,运营商在劫持的时候,甚至还可以把广告栏放到“恰到好处”的地方,让这种无节操的推广看起来相当“美观”(已无力对运营商的审美观吐槽)。


如果用户使用 App 进行访问,那么运营商可以通过简单的途径,搞到一些热门 App 的代码,例如小米商城或今日头条,进而针对这些 App 进行优化,让应用分发的劫持或者广告的展示看起来“天衣无缝”。


还有更猛烈的。运营商即使再无节操,也是有基本底线的。但如果黑客利用运营商强上你的时候留下的漏洞,“黑吃黑”地再次劫持了你的数据,那么事情的发展就不在掌握中了。黑客完全可以调用你的摄像头、获取你的所有登陆密码、读取或修改你手机上的所有文件,包括照片,嗯。

面对运营商的“强上”,我们应该如何反击?

“加密协议”可以防止我们被“强上”

不说那些让人伤心的事了,既然所有的问题都来自于明文传输,那么解决的方法就是“http”的升级版“https”。不要小看这一个多出来的“s”,二者可谓是天壤之别。相比之下,新款 iPhone 加上一个“s”就能糊弄用户的伎俩简直弱爆了。

“https”的协议采用了全链路的加密,运营商在传递数据的过程中,看到的是“天书”一样的字符。只有传递信息的双方拥有解密数据的密钥。这样,即使运营商有心“上我们”,也会发现无处“下家伙”。

虽然“https”已经诞生了很久,但是为了自身的成本控制和用户方便,仍然有很多站点支持使用“http”进行通信。至于原因,Opera 浏览器的 CTO 罗志宇在文章中表示:

https 对硬件的要求要比 http 高, 这个意味着更大的开销, 而更大的开销也就意味着需要花费更多的资金购买服务器。其他架构上面带来的成本可能就跟不用说了。

在这件事上,普通用户是有劲儿也没处使的。不想被运营商蹂躏,只能寄希望于网站可以进行协议升级。让我们欣慰的是,一些互联网企业已经宣布全站支持https协议了,比如 Google 和 Facebook。等等,这两个网站存在吗?为什么我上不去?先不要在意这些细节,最近一年国内很多网站也采取了加密协议,例如淘宝和百度。

  • 淘宝宣称全站都采取了加密协议,所以只要在淘宝网内部浏览,安全性是较高的;

  • 百度因为是一个搜索引擎,所以无法保证搜索到的内容都是加密传输的,因此跳转到其他网站之后就没有办法抵御流量劫持了。

面对运营商的“强上”,我们应该如何反击?

【淘宝网会强制跳转到https协议进行访问】

然而,即使是采取加密传输,还存在一个小问题,那就是:在用户的浏览过程中,很多情况下存在跳转行为,而跳转过程中,有任何一个网站采用“http”协议,都会使得第三方有机会劫持用户流量。举例来说,很多用户喜欢在聚合网站,例如“什么值得买”上浏览商品。而“什么值得买”采用的就是未加密的“http”协议。因此理论上来说,在跳转之前的任意时间点,第三方都可以劫持用户的数据,然后插在用户和网站之间。

360的安全专家MJ表示:

如果黑客控制了你的网络访问,可以篡改你的访问申请,比如把你导向一个假的“https://www.taoobao.com”通过这种方式可以劫持你的数据。

也就是说,如果你通过网站跳转而访问安全网站,第三方可以用这种方式继续劫持你的流量。当然这些都是理论上的可能了,运营商几乎没有可能做出这么低劣的行径。

结论是:“花钱”

总之,这些互联网企业与其联合起来讨伐运营商,倒不如花点时间和金钱把自己的“钱包”加固,让别人无从下手。总而言之一句话:

不能让运营商有哪怕一秒钟的时间接触到你的明文数据。

说到这里,似乎解决的方法已经很明朗了,就是对网站协议进行“https”改造。然而,这种改造涉及人员、服务器、技术的全面升级。“过来人”阿里巴巴称这种改造成本为“巨资”,可见即使对于阿里这种土豪来说,改造网络协议都是昂贵的。

再来看看这六家声讨运营商的企业:小米、今日头条、美团大众点评网、360、腾讯、微博。就财力而言应该都可以实现加密传输的改造。尤其是腾讯,本该混迹于BAT行列的它,看到百度和阿里都进行了协议升级,不知内心是否煎熬。

说了这么多,结论只有一个:

想要优雅地避免运营商耍流氓,就需要大把地花银子。

俗话说,能用钱解决的问题,都不是大问题。为了争口气,花点钱算神马!你们说呢?

面对运营商的“强上”,我们应该如何反击?

【图片为雷锋网制作,仅供娱乐】


参考阅读:《HTTP必死:Google是怎么考虑安全的?》

雷峰网原创文章,未经授权禁止转载。详情见转载须知

分享:
相关文章

编辑

雷锋网编辑,关注科技人文,安全、黑客及芯片。
当月热门文章
最新文章
请填写申请人资料
姓名
电话
邮箱
微信号
作品链接
个人简介
为了您的账户安全,请验证邮箱
您的邮箱还未验证,完成可获20积分哟!
请验证您的邮箱
立即验证
完善账号信息
您的账号已经绑定,现在您可以设置密码以方便用邮箱登录
立即设置 以后再说