明明自己沒有設置過,打開網頁流覽器卻直接到了一個陌生網站,想改回原來的主頁設置頗費周折,甚至無能為力。很多線民有過類似經歷:在安裝了一些軟體後,自己的流覽器主頁就被修改和鎖定。
隨著互聯網治理的深入,網路環境在逐步改善。但據使用者最近的反映和記者的調查,“流覽器主頁劫持”“流量劫持”等現象依然猖獗,損害著廣大線民的權益。在複雜的互聯網技術面前,用戶仍居弱勢地位,不時遭遇技術霸淩、個人隱私被侵犯和網路安全風險等問題。
我的流覽器主頁怎麼了?
本來打算訪問A網站,卻被強制打開B網站
“下了個驅動精靈,想升級電腦的驅動程式,沒想到遇到金山毒霸劫持流覽器主頁,連下載其他安全軟體開啟主頁防護都無效,反正刪註冊表什麼的啥都試了,還是不行……”
在網上的各類電腦論壇、百度知道、知乎等網站上,這種關於流覽器主頁被劫持的帖子比比皆是。“流覽器主頁被毒霸網址大全篡改無法修改怎麼辦?”“大家對於搜狗輸入法劫持主頁有什麼好的解決辦法?”“流覽器主頁被劫持為 Hao123怎麼辦?”“流覽器主頁被2345劫持如何處理?”……
令很多線民無可奈何的“流覽器主頁劫持”,長久以來一直是互聯網安全的頑疾。記者在百度搜索框內敲入“流覽器主頁”,馬上就跟隨顯示“流覽器主頁被強制更改”和“流覽器主頁修改不過來”的搜索提示。“流覽器主頁被強制更改”的百度搜索相關結果超過2000萬個,“流覽器主頁修改不過來”的搜索結果也超過2700萬個。
專家表示,“流覽器主頁劫持”指的是用戶設置的主頁網址,在使用者自己不知情的情況下,被強行篡改為其他網址,當用戶打開流覽器後,顯示的頁面變成劫持者設置的頁面。
“流覽器主頁劫持”有哪幾種類型?
浙江大學網路空間安全學院研究員周亞金介紹,從最簡單的一次性修改主頁地址,到通過外掛程式修改,甚至通過修改系統設置來實現,“流覽器主頁劫持”根據“來源”可分為多類。第一類是正規互聯網公司的應用軟體。安裝安全軟體或應用軟體時,未經任何提示完成安裝後,流覽器主頁位址也隨之被修改為相關網址或導航網頁。一些流覽器軟體在安裝過程中,“默認……為流覽器主頁”的提示文字標在不起眼位置,或是默認打鉤,如果用戶沒注意,很容易就被替換主頁。
第二類是由於某些協力廠商工具軟體的捆綁安裝導致。這類軟體通常會捆綁安裝流覽器和遊戲,並預設設定新的目標主頁。即便是安裝過程中彈出“是否同意使用者協議”的視窗,由於協定冗長,使用者很少會看全或者根本不看就點擊“同意”,從而導致主頁設置被更改。專家認為,這些含蓄的誘導行為也可認定為“流覽器主頁劫持”。
第三類則是明目張膽的惡意軟體或電腦木馬病毒所為。通過對流覽器發起惡性攻擊、潛入惡意外掛程式,或利用木馬病毒侵入電腦導致系統混亂,也能輕而易舉地篡改主頁。
在技術專家眼中,包括“流覽器主頁劫持”的互聯網技術霸淩行為不在少數。周亞金舉例說,包括通過網頁彈窗的方式向使用者推廣摻雜廣告的新聞頁面,普通使用者不知道如何關閉;通過一些誘導性和欺騙性文字如領取紅包等來欺騙用戶下載應用或者分享連結,乃至獲取使用者的地理位置;通過比較隱蔽的設置(用戶難以看到的地方)默認搭售軟體的安裝。
不僅是個人電腦,智慧手機等移動端也有類似現象。線民反映,有的手機裝機自帶一堆軟體,使用者不需要也無法卸載。最為人所詬病的就是APP獲取許可權範圍過多過泛。實際上,許多APP聲稱要開啟的許可權與其功能根本無關,如導航APP要掌控使用者的通訊錄或是開啟電話許可權等。
為啥改不回去?
很多“流覽器主頁劫持”都是通過惡意軟體或者外掛程式完成
“上網查了好多解決方案,比如改流覽器設置、刪註冊表等,都不行。有些軟體即使被卸載,電腦重啟後,流覽器主頁還是被改掉。”“用任何安全工具都無法修復,殺了毒、清空了DNS緩存,都無濟於事。”……
儘管一些電腦專業網站專門開設了流覽器主頁修改專題,包括金山毒霸也針對如何解除鎖定的毒霸導航作了說明,但對大多數用戶來說,流覽器主頁被劫持後,要改回去往往費力費時,甚至還無法解決問題。
專業人士介紹,從簡單到複雜,一般有幾種“救回”主頁的辦法。適用普通用戶的,包括重啟電腦、卸載軟體、流覽器重新設置、殺毒等。但不少用戶反映,這些方法無濟於事。相對需要專業知識的,例如在安全軟體的流覽器保護功能中設置流覽器主頁鎖定,找到並修改系統的註冊表,清除開機時自動啟動的惡意程式,修改桌面上的流覽器快捷方式屬性等。但對部分網友來說,依然解決不了問題。
到底是誰在背後搗鬼?一位元軟體工程師透露,其實對電腦專業人員來說,“流覽器主頁劫持”背後的技術操作門檻並不高。
就修改主頁來說,通過軟體裡混入代碼、攫取許可權、利用漏洞等都可以實現。專家介紹,很多情況下,按照網上摸索出來的攻略能夠將流覽器主頁修改回來,但對大多數普通用戶來說,光是“任務進程”“註冊表”這些概念就已經夠難懂,像“卸載驅動精靈需要先在工作管理員裡殺掉進程,粉碎資料夾如果失敗可以先將子檔強力刪除”這種話,更是不知所云。
但許多時候,這些改回主頁的辦法也不管用,即便是恢復最初設置,又會被改回去。中國科學院資訊工程研究所副研究員劉奇旭說,這是治標不治本的辦法。很多“流覽器主頁劫持”都是通過惡意軟體或者外掛程式完成,不將其清除,主頁還是會被改回去。一些軟體會在後臺監視當前流覽器設置,一旦發現設置被重置,會重新劫持主頁。還有一種方式是通過攻擊使用者的家用路由器來劫持主頁,不需要修改使用者電腦設置即可進行,非常隱蔽和難以消除。
“能讓用戶察覺到的流覽器主頁修改,還不是最可怕的。”一位軟體工程師說,最恐怖的在於那些用戶根本察覺不到的互聯網技術霸淩。他舉例說,“挖礦木馬”(在用戶電腦裡植入並賺取比特幣的病毒程式)在2017年採用的是低級版本,當用戶電腦被感染後,能夠感覺到電腦運行速度變慢。但到了2018年,“挖礦木馬”升級後,變成白天不運行,用戶晚上合上電腦後才開始運作。“用戶毫無察覺,但其實已經被偷走了流量和資源,一直被‘欺負’。在互聯網上,用戶在複雜的技術面前往往是弱勢的一方。”
帶來的危害有哪些?
用戶上網體驗差,會導致隱私洩露,危及網路安全
“流覽器主頁劫持”帶來的危害有哪些?
工業和資訊化部賽迪研究院電子資訊研究所副所長陸峰說,首先會給用戶帶來使用不便和糟糕的體驗,增加不必要的麻煩。“我本來習慣訪問的是A頁面,但被劫持之後就鎖定到B頁面。有的線民更喜歡簡潔的主頁,也不需要在首頁上設置密密麻麻的導航網站。一旦被篡改劫持,原有的使用習慣被迫改變。往往這種導航主頁上會有許多彈窗廣告,導致用戶體驗變得糟糕。”
其次是由於個人資料被持續收集,容易導致用戶隱私洩露。劉奇旭說,流覽器網頁所用到的“Cookie”是網站常用的用戶跟蹤和識別技術。使用者使用流覽器流覽網站內容時,網站可以在用戶電腦本地存放Cookie,以識別和記錄使用者的登錄、流覽和購買資訊。“而一旦被別有用心的人收集和掌握,你上網的偏好、關注的話題、購買商品情況等相關資訊都有可能被收集,然後被‘畫像’。最典型的例子,就是你在網上搜索了什麼商品,然後滿屏都是相關的電商廣告。”劉奇旭說。
安全風險則是專家們認為的最大危害。陸峰表示,安全隱患可分為兩種。一種是對用戶個人來說,流覽器主頁被劫持,那麼個人電腦中就有極大可能存在惡意軟體或病毒,存儲在電腦上的資料如銀行帳號、密碼等可能被竊取。另外,如果主頁被駭客劫持,誘導進入到一些惡意網站甚至釣魚網頁,可能會導致更大的財產損失。
另一種更嚴重的後果,則是有可能對整個網路安全造成威脅。360安全專家王丁說:“網頁掛馬,也就是帶有病毒木馬的網頁已成為目前主要的互聯網安全威脅之一。”用戶被劫持到掛馬網頁,就會感染木馬病毒,從而被駭客控制流覽器乃至電腦,更有甚者還會使使用者電腦成為僵屍主機,被用來攻擊其它電腦。如DDoS(分散式拒絕服務)攻擊,也就是在某一個時刻,控制成千上萬甚至更多用戶電腦的流覽器訪問同一網站,該網站可能會瞬間崩潰。
“一般來講,一些流覽器主頁服務商篡改主頁,主要是為了引導流量,以商業行為為主,不會對用戶的電腦做出竊取使用者隱私資訊等行為。真正的安全隱患來自於駭客的劫持以及訪問誘導,利用替換的釣魚頁面騙取使用者資訊輸入。這種劫持已成為互聯網黑色產業鏈條的重要一環,也是當前很多網路電信詐騙的重要形式,亟待加強治理。”陸峰說。
多位專家表示,從整個行業的健康發展來看,流覽器主頁被劫持的行為頻發,會極大地擾亂市場競爭秩序,不利於互聯網行業的健康發展和創新。一位元業內人士告訴記者,流覽器是電腦的重要應用軟體,也是互聯網應用的基礎性軟體。一款流覽器的自主研發投入巨大、耗時耗力,需要編寫的代碼超過千萬行。如果靠劫持主頁就可以佔有市場、贏得用戶,那還有誰會把精力放在自主研發、提升產品品質上來?長此以往,行業創新將難以為繼。
劫持流覽器有何目的?
“流量劫持”的背後,隱藏著巨大的商業利益
那麼,流覽器主頁被劫持的情況為何屢屢發生、屢禁不止?
廣告依然是當前互聯網經濟的核心贏利模式之一,也就是“眼球經濟”。流量即眼球,這是造成網路“流量劫持”長期氾濫的主要原因。
中國互聯網協會副理事長黃澄清認為,這些問題是互聯網發展到一定階段後出現的。互聯網時代講究流量為王,誰有了流量,誰就掌握了創收的法寶。流覽器是個人電腦通往互聯網世界的主要入口,也是智慧手機等移動終端上網的重要通道。一定程度上講,控制了流覽器,也就掌握了使用者的流量導向。
顯然,“流覽器主頁劫持”的背後,隱藏著巨大的商業利益。
專家表示,流覽器主頁被劫持,相當於用戶流量被劫持,無論是投放廣告、推廣應用還是收集個人隱私,最後都可能形成利益鏈條。
流覽器主頁通過什麼方式來變現流量,實現贏利?記者瞭解到,當前以“搜尋引擎+網址導航”為主的流覽器主頁贏利模式主要有三種:
第一種最為清晰明瞭,那就是網站上無處不在的各種廣告。記者隨意打開一家導航網站,除了主要位置的網址導航,剩下的幾乎都是廣告。
廣告這麼多,運營流覽器主頁的服務商能掙多少錢?記者拿到某網站的廣告市場報價顯示,“導航首頁右側電梯浮層”的價格為17.5萬元/天,“流覽器新標籤頁默認開屏”的價格為70萬元/天,“熱點新聞彈窗”視位置不同,價格從幾千元、幾萬元到上百萬元不等……這家企業的營業收入中,互聯網廣告及服務貢獻了絕大部分。可見鎖定使用者訪問的固定頁面有多重要。
第二種贏利模式主要通過搜尋引擎來實現。業內人士介紹,這些流覽器主頁上的顯著位置都設有搜索條框,一些熱詞、關鍵字的搜索都會給流覽器主頁帶來收益。每次點擊帶來的收益通常在幾毛錢到幾十元錢不等。搜尋引擎用戶量越多、排名越靠前,其熱詞的競價排名收費越高。
第三種贏利模式則是通過採集使用者資訊來實現。“為什麼會有那麼多精准的廣告投放?就是有了較為精准的用戶畫像。”專家表示,PC端使用者行為資料的收集主要通過網頁流覽,移動端則主要通過APP的各種許可權來採集。而這些資訊,都已經成為互聯網黑色產業鏈條的商品,被明碼標價。
周亞金說,將用戶的主頁鎖定到一些搜尋引擎、電商網站,軟體和被推廣的網站都從中獲利,算是一種比較“溫和”的做法。如果將主頁定向到一些博彩賭博網站、釣魚頁面,進一步獲得使用者的支付資訊,那就是赤裸裸的詐騙和非法牟利。
侵犯了用戶什麼權利?
侵犯了用戶的知情權、自主選擇權、電腦資訊系統擁有權
法律專家認為,以“流覽器主頁劫持”為代表的“流量劫持”行為,不僅破壞互聯網運營生態,給用戶帶來不便甚至安全隱患,而且本身就屬於違規違法行為。
這種行為侵犯了用戶的知情權、選擇權。“早年,篡改主頁是少數駭客的‘炫技’行為,而今一些網路公司貪圖流量價值,通過不正當競爭的方式來獲取流量。”中國互聯網協會法治工作委員會副秘書長胡鋼說。
中國政法大學傳播法中心研究員朱巍認為,互聯網領域的不正當競爭類型很多。“流覽器主頁劫持”利用技術手段干擾用戶選擇,實際是對用戶的誤導,侵犯了用戶的知情權和選擇權。
安全專家表示,一些相對基礎的軟體作為電腦底層軟體,擁有較大許可權,因此更應該慎用這種“特權”,任何對用戶電腦的干預行為都應該以“實現功能所必需”為前提,而不是借保護用戶安全的名義,擅自變更用戶流覽器主頁來搶奪流量。
此外,這種行為還侵犯了使用者對電腦資訊系統擁有的權利。北京師範大學刑事法律科學研究院暨法學院副教授吳沈括說,當流覽器被他人劫持,用戶無法按照自主意願使用時,就是侵犯使用者對電腦資訊系統擁有的權利。
2015年11月,上海浦東法院判決了全國首例“流量劫持”案,其背景就是,線民想要訪問A網站,卻被突然劫持到了B網站。法院以破壞電腦資訊系統罪判處兩名被告人有期徒刑三年,緩刑三年;扣押在案的作案工具以及退繳在案的違法所得予以沒收。2018年底,最高人民法院將該案發佈為指導性案例。胡鋼認為,法院的這一判決表明,劫持流量行為不但違法,而且也會構成犯罪。這對於“流量劫持”的治理具有樣本意義。
與此同時,“免費”不能成為網路經營者違法的托詞。綠盟科技資深網路安全工程師肖召紅表示,軟體研發的成本比較高,我國大多數軟體免費提供給使用者使用,流量套現是主要商業模式。近些年,面向使用者端的網路紅利逐漸耗盡,不少軟體企業面臨較大的生存壓力。這是部分軟體企業冒著損害使用者利益的風險,想方設法引流的原因之一。
對此,肖召紅認為,一些軟體企業要健康發展,應通過技術創新等手段拓寬贏利管道,不應只聚焦在流量上。安全軟體企業在企業端市場也還有很大的挖掘空間,這樣既能維護網路環境,也能支撐自身的發展。
“一些軟體產品的免費模式不應是網路經營者違反法律、侵害線民合法權益、破壞市場競爭秩序的藉口。網路從業者需要自覺遵守秩序,這樣才能健康發展。”胡鋼表示。
中央網信辦網路安全協調局相關負責人就此問題接受記者採訪時表示,網路安全法對網路運營者收集、使用個人資訊有明確規定,企業必須遵循合法、正當、必要的原則,不應過度收集用戶個人隱私。
監管治理難在哪裡?
應用場景多樣,監管、取證的難度較大
專家認為,以“流覽器主頁劫持”為代表的“流量劫持”,是駭客及網路黑色產業組織存活的主要源頭。儘管在監管治理上出臺了不少措施和規定,但“流量劫持”仍然困擾行業多年,其原因是多方面的。
首先,由於應用場景多樣,監管、取證的難度較大。吳沈括說,理論上,只要存在資料的傳輸,就存在“流量劫持”的可能性。資料流程通的多個環節如應用程式端、路由器端、運營商端等,都有可能被實施“流量劫持”。多種多樣的場景和技術手段,加大了監管的難度。
黃澄清說,如果用戶的流覽器被劫持,通常可以向寬頻運營商、廣告平臺投訴舉報,以及向“12321”網路不良與垃圾資訊舉報受理中心舉報。但“12321”主要起社會監督作用,線民舉報以後,中國互聯網協會按照自律公約或者細則的規定向社會曝光,將相關企業列入黑名單。但目前“12321”受關注度還不夠高。
由於用戶訪問網站是個人行為,遭遇“劫持”後取證困難。很多時候,線民只能主動放棄投訴。
其次,是監管機構協同治理機制還不夠完善。業內人士表示,當前我國對互聯網企業實行屬地管理,網路監管又涉及工信部、網信辦、公安部等多個部門,這些部門的分工各有側重,部門間協同治理還有待完善。
早在2006年,中國互聯網協會制定了《抵制惡意軟體自律公約》,公約第九條規定,尊重用戶上網選擇,反對流覽器劫持。這是我國較早涉及“流量劫持”的規範。
但治理“流覽器主頁劫持”的行為,光有行業自律還不行。“必須要有底線意識,有法律和政府管理做支撐,與行業自律一起打出組合拳,才能形成長效機制。”黃澄清說。
實際上,我國目前已出臺不少規範“流覽器主頁劫持”等行為的法律規範。吳沈括介紹說,2017年6月實施的網路安全法第十條、第二十一條、第二十七條等規定,都從原則性的角度否定了“流量劫持”行為,但在實踐中還需要更詳細、可操作的條文。
“互聯網發展引發許多新問題,對它們的認識和理解有一個過程,需要把握規範和發展的平衡,應該在深入調研的基礎上出臺相對應的法律法規,如此才更有效、更有操作性。”黃澄清說。
到底用什麼辦法治理?
加大監管力度,進一步健全和完善相關法律法規
源源不斷的經濟利益刺激,讓“流量劫持”成為“野火燒不盡”的網路頑疾。有沒有辦法能夠有效治理甚至根治?
專家認為,首先要進一步加強對“流量劫持”行為的監管與治理。
“加大對網站經營者、搜尋引擎的監管力度,要鼓勵其與網路黑色產業勢力對抗,共同創造一個良好的互聯網環境。”肖召紅期待,工信部、網信辦和公安部三部門應進一步加大協同治理的力度。同時讓市場監管總局等相關部門也共同參與,互聯網協會等行業協會應推動行業加強自律規範。
其次,亟須進一步健全和完善相關法律法規,讓“流量劫持”治理有更詳細的細則,從而指導實踐,進一步加大處罰力度。
陸峰表示,我國現行法律法規在個人資訊保護方面的有關規定原則性較強,缺乏具體的實施細則,企業操作的迴旋空間還很大,仍需進一步細化。工業和資訊化部有關負責人告訴記者,工信部正在加強政策研究,下一步將配合做好《個人資訊保護法》立法工作,從操作性上細化法律法規要求,細化標準,如引導企業分場景獲取用戶明確授權,不“強制索權”等。
此外,受訪專家也認為,要加強對最新網路犯罪問題的研判。吳沈括說,對一些高頻次、有特點的網路安全案件,有必要以案例形式進行科普,提升認知。
胡鋼認為,網路相關立法,特別需要堅持“速立頻修”的原則,就是快速建立,頻繁修訂。“‘速立’解決‘有無’問題,‘頻修’解決‘更好’問題,以及時回應快速變化中的各類問題。”
中央網信辦網路安全協調局相關負責人介紹,近年來,各有關部門持續對網路黑產加強監管和打擊。公安部組織開展“淨網”、駭客攻擊破壞和侵犯公民個人資訊犯罪打擊整治等一系列專項行動。工業和資訊化部開展專項行動,清理移動智慧終端機預置惡意軟體等問題。中央網信辦會同工信部、公安部、市場監管總局開展了APP違法違規收集使用個人資訊專項治理。今後各有關部門會繼續按照“打源頭、摧平臺、斷鏈條”原則,對利益鏈條的上中下游全鏈條進行打擊和治理,包括針對上游提供惡意程式等工具和技術支援、中游實施惡意劫持行為和下游進行利益變現的管道等一系列問題。
工業和資訊化部相關負責人也表示,工信部高度重視使用者個人資訊保護工作,近年來不斷強化電信和互聯網使用者個人資訊保護監管工作,如定期開展技術檢測和監督檢查,對違規收集使用使用者個人資訊的企業或手機應用軟體進行查處和曝光。該負責人表示,今後將強化監督檢查,督促企業落實現有規章制度和行業標準,特別是在使用者個人資訊收集使用規則公示告知、征得用戶授權同意等環節,充分保障用戶的知情權、選擇權。
專家也建議,網友在使用個人電腦等智慧設備時,也應增強防護意識,從正規管道下載軟體或應用;安裝新軟體、新應用時充分瞭解授權要求,保護個人權益。
多位受訪專家表示,治理“流量劫持”現象需要多方配合、協同作戰,在各個環節進行防禦。對“流量劫持”這個網路頑疾,記者將持續關注。
記者在此呼籲:那些有“流覽器主頁劫持”等侵權行為的行為主體,是改邪歸正的時候了!
(記者馮華、吳月輝、喻思南、劉詩瑤、餘建斌)
最新評論