今天(12月25日)中国互联网出现了“六国联军”——今日头条、美团点评、360、腾讯、微博、小米等六家互联网公司共同发表了一份《六公司关于抵制流量劫持等违法行为的联合声明》,呼吁联合抵制流量劫持等违法行为,并表态不排除采取联合行动的可能。
声明指出,困扰互联网行业多年的流量劫持问题对互联网公司、普通用户的正当利益均造成了严 重的损害,劫持流量者提供的信息服务,由于完全脱离相关法律监管,放任这种非法劫持的泛滥,将带来无法挽回的恶果。六家公司希望“社会各界充分重视流量劫 持这一问题的严重性,采取共同措施抑制劫持,共同打造一个健康、诚信、有序的市场环境。”
先来阅览下声明全文:
六公司关于抵制流量劫持等违法行为的联合声明
我们六家公司(今日头条、美团大众点评网、360、腾讯、微博、小米科技),在此联合表达共同诉求: 呼吁有关运营商严格打击流量劫持问题,重视互联网公司被流量劫持,可能导致的严重后果。
进一步说明,目前的移动互联网环境下,流量劫持方式主要分为两类:
1.域名劫持,表现为在用户正常联网状态下(如3G、4G和WiFi等状态),目标域名会被恶意地错误解析到其他IP地址上,造成用户无法正常使用服务。
2 .数据劫持,对于返回的内容,会在其中强行插入弹窗或嵌入式广告等其他内容,干扰用户的正常使用,对用户体验构成极大伤害。
放任流量劫持将带来以下严重后果:首先,遵守市场规则的公司不能得到褒奖,商誉和利益被严重伤害,而违法违规者却受到鼓励;其次,用户使用我们的产品,意味着和我们之间形成严格的服务契约,流量被劫持,等于用户不能得到约定服务,从而导致利益受到损害;第三点,也是最让人忧虑的地方在于,我们提供的信息服务,都是依照国家法律,并在有关职能部门监管下完成,而劫持流量者提供的信息服 务,完全脱离监管,甚至可能传播诈骗、色情等低俗甚至严重违法信息,如任由非法劫持泛滥,将造成无法挽回的恶果。
上述两类劫持和偷卖流量等行为,已有多项证据直接指向某些机构。鉴于劫持行为已涉嫌违反中国法律,如《电信条例》等,因此,我们在对恶意劫持做技术识别和拦截之外,也向有关监管部门报案。
我们发表联合声明,是为引起全社会重视,我们不排除视事态发展,进一步采取联合行动的可能。
最后,我们再次呼吁,打击包括流量劫持在内的违法行为,不仅关乎互联网产业健康发展,也是包括运营商在内的所有游戏参与者的义务和责任。我们期待社会各界充分重视问题的严重性,采取共同措施抑制劫持,共同打造一个健康、诚信、有序的市场环境。
特此声明!
联合声明企业(按汉语拼音首写字母排序)
今日头条、美团大众点评网、360、腾讯、微博、小米科技
看完这份“联合声明”,深深感受到一份端着的正义感与使命感。然,又有多少人知晓“流量劫持”这事的玄机?先来淌一下这潭水。
流量劫持的水有多深?
1)流量劫持牟利犯罪
所谓“流量劫持”,就是利用各种恶意软件修改浏览器、锁定主页或不停弹出新窗口,强制用户访问某些网站,从而造成用户流量损失的情形。作为危害网络安全 的一大“毒瘤”,流量劫持引发的诉讼曾有先例。两年前,一家互联网公司对另一家公司的搜索结果进行标注,并向用户宣传安装其浏览器,后者因此向法院起诉。 前者因干扰了他人互联网产品或服务的正常运行,被法院判决赔偿后者40万元。
劫持流量行为不但违法,而且构成犯罪。11月10日,据中国新闻网报道,上海市浦东新区人民法院判决了中国大陆“首起流量劫持刑案”,两名被告人被判有期徒刑三年,缓刑三年;扣押在案的作案工具以及退缴在案的违法所得予以没收。
警方破案,两位犯罪嫌疑人付某,陕西人,高中文化;黄某,广东人,大学文化。从2013年底至2014年10月,租赁多台服务器,使用恶意代码修改互联网用户路由器的DNS设置来劫持流量,短短10个月二人获利75.47万余元人民币。
对劫持流量行为多以民事责任追究,虽然刑法没有直接设置劫持流量罪,但这并不意味着劫持流量的行为不构成犯罪。从劫持流量产生的恶劣后果来看,其行为不仅导致了用户因为流量流失而遭受经济 损失,而且也因恶意软件的强行植入造成计算机系统的破坏,给网络的正常运行带来极大的安全隐患,符合刑法第286条关于破坏计算机信息系统罪的构成要件。 相关法条对该罪的处罚十分严厉,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。
2)流量劫持原理
流量劫持也是一种网络攻击,关系用户安全隐私等问题。其工作原理大致有这么几种:
协议攻击:Hub 嗅探、MAC 欺骗、MAC 冲刷、ARP 攻击、DHCP 钓鱼、DNS 劫持、CDN 入侵。
网络设备攻击:路由器弱口令、路由器 CSRF、PPPoE 钓鱼、蜜罐代理。
网络环境攻击:WiFi 弱口令、WiFi 伪热点、WiFi 强制断线、WLAN 基站钓鱼。
在冰盾防火墙网站上的一篇《什么是网络流量劫持?揭秘详解黑客劫持的攻击手段与防御方法》有对应的案例解析。文章还指出,在流量劫持面前,几乎是人人平等的。网络安全与传统的电脑操作系统安全不同,网络是各种硬件设备组合的整体,木桶效应尤为明显。即使有神一样的系统,但遇到猪一样的设备,你的安全等级瞬间就被拉低了。现在越来越流行便宜的小路由,它们可是承载着各种网银、支付宝等等真金白银的交易流量,你能放心使用吗?
3)流量劫持亦成“商战”
虽然,你和饭酔分子一样对流量劫持嗤之以鼻,但是我们不得不承认,流量劫持也是一场商战。
先说下三大电信运营商。2013年7月,甘肃地区中国移动网络对陌陌进行了劫持,导致该地区用户无法正常登录陌陌。愤怒之下,陌陌官方微博回应:“经技术人员确认,从7月16日下午开始,甘肃地区中国移动网络对陌陌进行了劫持,导致部分用户提示‘网络认证失败,请确认手机时间正确’”
此外,中国移动被曝绑架微信,强行植入流量助手。中国联通也成潜规则劫持流量,弹窗而引起用户不满,中国电信用户也有类似的吐槽。运营商的流量劫持有一个共同点,第三方广告植入和应用软件排他。
今年5月,有UC神马搜索接到用户反馈,在河北、陕西等地,用户使用神马搜索,输入关键词后,输出的却是搜狗搜索的结果。不过经过核实后,神马搜索流量遭劫持或为电信运营商所为。此前,百度搜索和360导航都曾曝出遭遇运营商流量劫持。
与此同时,百度与搜狗的一场围绕“流量劫持”的官司正在进行中,原告百度认为,搜狗通过其输入法及浏览器软件,恶意仿冒、混淆搜索框和搜索结果,劫持百度流量,并从中牟利,属于严重的不正当竞争行为,对百度造成了极大的社会负面影响和重大经济损失,因此要求搜狗方面赔偿损失及相关支出共计120万元,并公开道歉,消除不良影响。
不得不提的是,以360为代表的安全软件,用户在目标文件下载时,往往会接到默认推送其他软件包下载,这难道不算一种变相流量劫持?
为什么是这六家公司站出来?背后又有何深意?
最后,我们来看一下此次《关于抵制流量劫持等违法行为的联合声明》的六家公司,今日头条、美团点评、360、腾讯、微博、小米公司。为什么是他们?他们又处于何种目的来主导反流量劫持?
从互联网产品属性权重可知,今日头条是移动阅读,美团点评是交易平台,360为网络安全,腾讯明显是社交,微博则是社会化媒体,除了游戏、金融,它们基本上已涵盖了互联网领域的细分方向。
《关于抵制流量劫持等违法行为的联合声明》背后应该没有政府机构的表态和推动,这次行动能达成,估计还是这些公司出于塑造企业品牌形象的需要,只要具体行动方案未公布及执行进度不公开透明,那只能说这六家公司开了个抵制流量劫持的“空头支票”。从整个互联网行业的层面来讲,如果没有更多的公司加入“抵制流量劫持”的联合行动,或达成一种行业行为的公约,那么这六家公司的示范作用是十分有限的。
当然,要做抵制流量劫持这件事,首先这六家公司要把自己的屁股擦干净,要不然会成为一个笑话。