🤔 你有没有发现,某天早上打开浏览器,主页莫名其妙变成了某个导航站?搜索引擎也不知道什么时候被偷偷换掉了?如果你用的是搜狗输入法,那恭喜你,你可能中了一个"合法"的病毒。
火绒安全团队最近发现了一个有趣的现象:搜狗输入法这个我们天天用来打字的工具,居然在背地里干起了修改浏览器配置的勾当。这就像你雇了个保姆照顾孩子,结果发现她还兼职做传销一样让人意外。
云控下发:看不见的幕后黑手
🎭 Shiply平台:精准投放的艺术
搜狗输入法使用了一个叫Shiply的云控平台,这个平台有个很厉害的功能——精准投放。就像淘宝知道你想买什么一样,这个平台可以根据用户画像、时间、地区等因素,决定给谁推送"特殊服务"。
"据此推测,可能利用灰度发布开展了小范围测试。"
这话说得多么委婉啊!翻译过来就是:他们在小范围内测试如何更好地劫持你的浏览器。
⏰ 六小时一次的"问候"
搜狗输入法通过SGBizLauncher.exe程序,每六个小时就要向服务器"汇报"一次,获取最新的云控配置。这个频率比很多人刷朋友圈还勤快。
| 组件 | 功能 | 执行间隔 |
|---|---|---|
| SogouPY.ime | 输入法核心组件 | 用户切换时加载 |
| SGBizLauncher.exe | 云控配置拉取 | 6小时一次 |
| Shiply SDK | 配置管理 | 实时响应 |
🕵️ 推广模块:狸猫换太子的把戏
杀毒软件检测:此地无银三百两
这个推广模块上来就先检测你电脑里有没有360安全卫士或者火绒安全软件。如果发现了,就乖乖退出;如果没发现,就开始"表演"。
检测方式:
- OpenMutexW 检测互斥体
- Process32NextW 检测进程名
- 重点关注:360、火绒这种行为就像小偷进屋前先看看有没有监控摄像头一样,此地无银三百两的感觉扑面而来。
🌐 浏览器劫持:温水煮青蛙
Chrome浏览器的"改造"
推广模块会检测Chrome浏览器的多个方面:
- 程序存在性检测:检查chrome.exe是否存在
- 配置文件检测:查找Secure Preferences和Preferences文件
- 注册表检测:确认Google Chrome相关注册表项
- 进程状态检测:确保Chrome没有运行(避免配置被重置)
只有当Chrome进程不存在时才会进行修改操作,因为Chrome关闭时会重新写入配置文件
这种"贴心"的设计体现了开发者的"专业素养"——确保自己的修改能够生效。
默认搜索引擎的偷梁换柱
修改后的搜索引擎URL变成:
https://baidu.wenxin9.com/?word={searchTerms}&type=0002&ie={inputEncoding}用户搜索时会先跳转到这个中间页面,最终跳转到:
www.baidu.com/s?tn=75144485_10_dg这个tn=75144485_10_dg就是来源标识,每次搜索都会给幕后黑手带来收益。💰
🔐 MAC值计算:技术含量还挺高
为了防止配置被轻易重置,开发者设计了一套复杂的MAC值计算系统:
- 获取系统SID的SHA1哈希值
- 获取卷序列号(VolumeSerialNumber)
- 计算CRC8校验码
- 组合成19字节机器码
- 使用HMAC-SHA256计算最终的MAC值
这套算法的复杂程度让人不得不佩服开发者的"敬业精神"。
🪟 弹窗推广:打不死的小强
系统通知的滥用
搜狗输入法还通过biz_helper.exe程序发起系统弹窗通知。一开始,用户还能通过系统设置关闭这些通知。
但是!一段时间后,用户发现关闭按钮变成了灰色,无法点击。原来是搜狗输入法偷偷修改了注册表:
HKEY_CLASSES_ROOT\AppUserModelId\http://Sogou.Ime.SysToast.Biz
ShowInSettings = 0这就像你家门锁被人从里面反锁了一样,让人哭笑不得。
三重开关的游戏
弹窗控制有三个开关:
- 全局通知开关:Windows系统级别
- 局部搜狗通知开关:针对搜狗的系统设置
- 搜狗自带开关:搜狗输入法设置中的选项
但云控配置可以忽略这些开关:
| 忽略类型 | 云控字段 | 说明 |
|---|---|---|
| 全局开关 | ignore_sglb_switch | 无视系统全局通知设置 |
| 局部开关 | ignore_sys_switch | 无视搜狗专项通知设置 |
| 自带开关 | ignore_ime_switch | 无视搜狗输入法内置设置 |
这种设计让人想起那句话:"你以为你关了,其实你没关"。😏
🎯 精准投放的"艺术"
时间窗口:避开技术人员上班时间
推广模块会检查当前时间是否在"允许执行时间段"内:
- 21:00-次日08:00
- 12:00-14:00
- 估测目的:规避工作时间,避免被技术人员发现
这种"体贴"的时间安排体现了策划者的"细心"——专挑技术人员下班或午休的时候搞事情。
用户画像:大数据时代的精准打击
Shiply平台可以根据以下条件进行精准投放:
- 📍 地理位置
- ⏰ 时间段
- 📱 应用版本
- 👤 用户画像
- 🎲 概率控制
这套系统的精密程度不亚于一些正经的互联网产品。
🔄 持续更新的"服务"
定期更新的推广模块
火绒团队发现,通过修改下载链接中的日期(如将brspgchange20250811改为brspgchange20250910),可以下载到新版本的推广模块。这说明这个"服务"是长期持续的。
新版本比旧版本多了什么功能呢?修改浏览器主页!打开Chrome后会跳转到http://page.wenxin9.com,然后再跳转到导航页。
灰度发布:小心翼翼的试探
"Shiply发布平台具备灰度发布功能,据此推测,可能利用灰度发布开展了小范围测试。"
灰度发布本来是互联网公司用来降低新功能风险的技术手段,结果被用来测试如何更好地"服务"用户。这种技术的"误用"让人啼笑皆非。
🛡️ 防范建议:用户的自救指南
面对这种"全方位服务",普通用户该怎么办?
立即行动清单
-
📱 更换输入法
- 微软拼音输入法
- 百度输入法
- 讯飞输入法
-
🔧 修复浏览器设置
- 手动重置默认搜索引擎
- 检查并修改主页设置
- 清理浏览器扩展
-
🛡️ 加强防护
- 安装可靠的安全软件
- 定期检查系统设置
- 关注软件权限
系统设置修复
如果已经中招,可以尝试以下方法:
注册表修复路径:
1. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\PushNotifications
- 修改 ToastEnabled 键值
2. HKEY_CLASSES_ROOT\AppUserModelId\http://Sogou.Ime.SysToast.Biz
- 修改 ShowInSettings 为 1
3. HKEY_CURRENT_USER\SOFTWARE\SogouInput.store.user
- 检查 systoast_enable 键值🤔 深度思考:边界在哪里?
免费软件的代价
搜狗输入法作为一款免费软件,需要通过某种方式实现盈利,这本无可厚非。但问题在于边界在哪里?
- ✅ 正当推广:在软件界面内展示广告
- ❌ 越界行为:私自修改系统配置
- ❌ 欺骗用户:隐瞒真实意图
技术与道德的博弈
这个案例展现了现代软件开发中技术与道德的复杂关系:
| 技术手段 | 正当用途 | 不当用途 |
|---|---|---|
| 云控配置 | 功能更新、Bug修复 | 推送恶意模块 |
| 精准投放 | 个性化服务 | 定向攻击用户 |
| 灰度发布 | 降低风险 | 逃避监管 |
| 加密算法 | 保护隐私 | 隐藏恶意行为 |
📊 影响评估:不只是技术问题
用户信任的坍塌
这种行为对整个行业的影响是深远的:
- 🔻 用户信任度下降:对免费软件产生质疑
- 📈 安全意识提升:用户开始关注软件权限
- ⚖️ 监管加强:可能引发相关法规完善
- 🏢 行业自律:其他厂商可能加强自我约束
数据背后的利益链
每次搜索跳转都会带来收益,这形成了一条完整的利益链:
用户搜索 → 中间页面 → 带标识的搜索结果 → 广告收入分成假设每个被劫持的用户每天搜索10次,每次带来0.01元收益,100万用户就是10万元/天的收入。这种"躺赚"模式的诱惑力可想而知。
🌟 行业启示:技术向善的重要性
开发者的责任
作为技术从业者,我们需要思考:
- 🎯 产品目标:技术应该服务于用户,而不是伤害用户
- ⚖️ 道德底线:盈利需求不能成为越界的借口
- 🔍 透明度:用户有权知道软件的真实行为
- 🛡️ 安全第一:不能为了商业利益牺牲用户安全
监管的必要性
这个案例也暴露出当前监管的不足:
- 📋 法规空白:对于这种"灰色地带"缺乏明确规定
- 🔍 检测困难:技术手段复杂,监管部门难以及时发现
- ⚡ 处罚滞后:发现问题到处罚执行时间较长
- 🌐 跨域挑战:涉及多个技术领域,需要专业知识
这件事情让我想起一个段子:用户以为自己在用输入法,其实输入法在用用户。在这个数据为王的时代,我们每个人都需要更加警惕,不要让"免费的午餐"变成"昂贵的陷阱"。
毕竟,世上没有免费的午餐,但有很多看起来免费的陷阱。🕳️
希望这篇文章能让更多人了解这种"技术创新"的真面目,也希望相关厂商能够回到技术向善的正道上来。技术本身是中性的,关键看使用技术的人想做什么。
评论前必须登录!
注册