為什麼會出現下載「家庭用藥」卻變成「應用寶」這種情況?

今天下載家庭用藥的時候,下載完成後安裝時全部變成了騰訊的應用寶,這是什麼情況?算是流氓軟體了吧。直接酷市場,應用寶直接下載以及直接百度出現的百度手機助手下載,全部是這個情況。

@Fenng

看了大家的回答,我再繼續補充一下

1酷市場:我安裝了酷市場軟體了,直接在裡面搜的家庭用藥,出現的是正常的家庭用藥,下載完後圖標仍然是正常的家庭用藥,在安裝的時候變成了應用寶!

2應用寶:我記得以前知乎看過,貌似騰訊給丁香園投資了,可能是捆綁了,所以仍然繼續安裝了,但是安裝完了之後,還是沒有下載家庭用藥。我又通過應用寶搜索家庭用藥,下載後仍然是1的情況。

3百度助手:直接通過百度網頁搜索的,下載後仍然是1的情況!注意,我並沒有點高速下載,就算是高速下載也應該下載百度助手而不是應用寶。

PS:下午6點19分測試,已經正常了,三個平台全正常了。希望大家別說我在逗你們玩- -!

酷市場和應用寶下載完了之後,在百度下載時我特意看了一下,確定下載的時候,軟體名字不是jiatingyongyao-xxxxxx(xx是一串數字),是只有一串數字,現在下載,前面添加了家庭用藥的拼音。


從問題來看,比較典型的下載劫持。

所謂下載劫持簡單來說,就是部分運營商(通常是地方運營商,這也是劫持通常是區域性發生,沒有全國性的原因)為了減少成本,會將一些比較熱的下載資源緩存在自己的伺服器上,當檢測到用戶下載相同的url時,就會通過302跳轉將自己緩存伺服器的地址反饋給用戶進行下載
這類劫持在行當里非常普遍,如果是跳轉到正確地址,那這種劫持並不算有害劫持。但是,正是這個緩存跳轉機制存在,被別有用心的人利用就會變成一條生財之道,將跳轉後地址寫成任何有利益關係的地址,這也就是惡意劫持。實際上很多人也被劫持下載到了百度瀏覽器,360手機助手等其他應用。比如說

千萬聯盟 - 移動廣告推廣專家 這家網站,很多產品都會在這裡發布推廣任務,任何人都可以來認領任務,然後通過推廣出去的激活量來獲取推廣費用。這就不可避免的導致一些有渠道的人,如部分運營商內部人員,通過劫持用戶下載來獲取推廣費用。


我們再來看看這件事到底是誰幹的。在整個利益鏈上應用寶、應用寶競品、運營商都是嫌疑犯
下面逐一分析:

1、 應用寶——看起來最可能但事實上不可能。劫持這件事情看起來對應用寶的好處是得到新用戶,但事實上通過這種方式拉新增,用戶基本都會馬上卸載,事實上對用戶數沒有一點幫助,同時還會損失用戶口碑,對產品是非常大的負面影響。根據艾瑞、易觀的數據,應用寶已經是用戶數第一的產品,不缺用戶。做這種事只有壞處沒有好處,騰訊不可能這麼傻。因此也就順理成章有了下一個嫌疑犯。

2、 應用寶競品——通過「幫助」應用寶獲取新客戶,來打擊應用寶口碑,成本很低,只要搞定一個地方的運營商就可以實現,但是對口碑的負面效應巨大。競品也有足夠的動機做這件事。2014年應用寶的竄起是一個全行業現象,14年初還只是市場前五開外,到9月份已經市場前三,讓對手們更驚慌的是——增速全行業第一。這不僅讓被超越者羨慕嫉妒恨,更讓居於市場前兩位的老大哥如何安心?這種動機下做點故意抹黑的事豪不稀奇,互聯網江湖險惡,一點不假!


3、 運營商——惡意劫持的罪魁禍首。運營商是下載劫持的關鍵環節,心術不正者只能跟運營商合作才能獲得劫持路徑,但運營商如果潔身自好而不是裝傻充愣的收錢,也就沒這檔子事了!

所以樓主遇到這事,還是得查查自己的網路環境,找運營商負責,否則除了應用寶還會有沒完沒了的其他劫持來找你。


作為酷安的人我有必要回答下 首先要說的是我們絕對沒必要推廣應用寶,我推一個競爭對手那不是把我們自己往死路上逼么,最近應用寶確實有點猖狂,我能想到的答案就是dns劫持,因為之前我們很多香港用戶也遇到過,只不過那時候被劫持下載的多半是糖果傳奇這個海外很火的遊戲。

所以根據以前的經驗這必然是cp和運營商有合作來強推應用寶,不知道是不是刻意針對我們酷安,有如果是那是我們的榮幸,但這招實在太噁心,我們到現在也沒什麼特別好的解決辦法,也許答案真的在應用寶那邊。


直接回答問題:因為你在下載「家庭用藥」的時候被劫持了,變成了下載「應用寶」。

事實上,不僅僅是在下載「家庭用藥」應用時會出現這種情況,下載其他應用也有可能遇到這種情況。

更進一步的事實是,不僅僅是在使用酷安市場下載應用時會遇到這種情況,用第三方市場下載應用也有可能遇到這種情況。

其實這也提醒了其他第三方市場的開發人員,不要認為在靜態文件上使用 SSL 沒有用,即使是靜態文件,也應該上 SSL。各位開發人員以及公司大佬,為了避免你們被當成和應用寶是一丘之貉,快把你們的下載鏈接改成 HTTPS 吧。

想了解劫持過程中技術細節的同學,可以看我前段日子剛剛擠出時間來寫的一篇分析(長文,各種技術怪獸出沒,慎入):關於應用寶劫持的技術分析

算了我的博客不太穩定,我還是把全文貼在這裡吧

------------------- 這是全文引用的分割線 ----------------------

你有沒有遇到過下面這些情況:

  • 在手機上下載 XX 應用安裝包時,打開下載回來的安裝包後發現根本不是 XX 應用,而是應用寶
  • 一些應用提示更新,更新包下載完成之後,你發現根本不是這個應用的安裝包,而是應用寶
  • 在一些國內安卓市場上下載應用時,本來安裝的是 XX 應用,但安裝成功後發現實際上安裝的是應用寶

如果你遇上過上面任何一種情況,恭喜你,你被劫持了。


為了通俗地解釋應用寶劫持是怎麼回事,首先我們需要了解下載是怎樣進行的。

———-下面是科普內容,專業人士可跳過——————–

當你要下載某個應用的時候,會經過下面幾個步驟:

  1. 我:我需要下載 XXX 文件
  2. 伺服器:給,這是你要的文件

其實基本的流程很簡單,不過有時候,這個流程會稍微複雜一些:

  1. 我(對伺服器 1):我需要下載 XXX 文件
  2. 伺服器 1:這個文件不在我這裡,你去伺服器2那裡下載
  3. 我(對伺服器 2):我需要下載 XXX 文件
  4. 伺服器 2:給,這是你要的文件

這叫做重定向,我們本來是想去伺服器 1 上下載文件的,但是伺服器 1 告訴我們去伺服器 2 上下載,最後我們就到伺服器 2 上下載了。


應用寶劫持的過程是這樣的:

  1. 我(對伺服器 1):我需要下載 XXX 文件
  2. 應用寶劫持黑手(搶在伺服器 1 前面回答):你要的文件不再我這裡,你去伺服器 XX 那裡下載(注意,XX 伺服器是應用寶劫持黑手給出的,我們一旦去 XX 伺服器下載,就會下載到應用寶)
  3. 我(對伺服器 XX):我需要下載 XXX 文件
  4. 伺服器 XX:給,這是你要的 XXX 文件(其實不是 XXX 文件,而是應用寶)

然後你下載回來的安裝包就是應用寶的安裝包了。


——————-上面是科普內容,專業人士可跳過——————-

下面開始技術細節的討論。


應用寶的劫持很聰明,它在一段時間內僅僅做一次劫持,根據我的體驗,可能是 24 小時。也就是說,如果你已經被劫持過一次,那麼在接下來的 24 小時內,你都不會被劫持了,可以正常下載 APK 安裝包了。

這是一個很聰明的策略,在劫持用戶的同時不會引起用戶太多的反感,也不會實質性地影響用戶的下載(因為用戶可以重新下載,而重新下載時是不會被劫持的),這樣,就不會引起大規模的用戶投訴。不得不承認,幕後黑手確實很狡猾。


有些人認為這是 DNS 劫持,其實不是的,DNS 劫持要做到這種效果,其實代價很大。要做這樣的劫持,HTTP 流量劫持是最好的。事實上,從 Google Play 上安裝軟體就不會被劫持,這可能是 Google Play 在下載安裝包的時候使用了加密的連接。


幕後黑手的另一個狡猾之處是,它僅對試圖下載 APK 文件的流量進行劫持,甚至,它可能還會使用 User Agent 的信息,僅僅劫持 Android 系統的流量。這就把流量劫持限定在了 Android 用戶身上,而不會對其他用戶造成任何影響,這就進一步降低了用戶投訴的數量。


事實上我自己已經被劫持過多次,但是因為在一段時間內僅僅會劫持一次,所以在被劫持之後再去收集證據就變得比較困難。我在被劫持了多次之後,終於摸索到劫持的規律,也就是一段時間內僅劫持一次。摸索到這個規律後,我就估摸著劫持快要發生的時候,先打開 Wireshark 進行抓包,然後再嘗試下載 APK 文件,最後抓到了應用寶劫持流量的證據。


不出所料,應用寶確實是劫持 HTTP 流量的,下面三張截圖很清晰地反應了這一事實:

這是第一張圖:我發起了一個 APK 下載請求,請求下載小米運動的最新版。圖中可以看到,請求的文件後綴是 apk,User Agent 顯示我是 Android 系統,這已經給了劫持方足夠的信息:這是一個可以劫持的流量。

-------------------------------------------------------------------

這是第二張圖:劫持方搶在伺服器之前回應了我的 HTTP 請求,並使用 HTTP 302 重定向告訴我應該去 s3.fenghaoda.com 上下載這個文件。請注意,這個 TCP 包的 ACK 是 305。此時,我已經被引導到劫持者給出的下載地址去了。

-----------------------------------------------

這是第三張圖:這是真正的伺服器回包,ACK 也是 305,但由於劫持者的包先到達,所以這個包被當作重複包被操作系統丟棄了。可以看到,雖然這個包也要求進行 HTTP 302 重定向,但重定向地址明顯是真正的下載地址。


以上三張圖已經可以作為應用寶進行 HTTP 流量劫持的證據了,下面來討論一些其他的問題。

流量被劫持到了 s3.fenghaoda.com 這個域名上,我對這個域名做了 WHOIS 查詢,得到信息如下:


Registry Registrant ID:
Registrant Name: yujie
Registrant Organization: yujie
Registrant Street: beijing
Registrant City: shi jia zhuang shi
Registrant State/Province: he bei
Registrant Postal Code: 100000
Registrant Country: CN
Registrant Phone: +86.05922669759
Registrant Phone Ext:
Registrant Fax: +86.05922669759
Registrant Fax Ext:
Registrant Email: 41290478@qq.com
Registry Admin ID:
Admin Name: yujie
Admin Organization: yujie
Admin Street: beijing
Admin City: shi jia zhuang shi
Admin State/Province: he bei
Admin Postal Code: 100000
Admin Country: CN
Admin Phone: +86.05922669759
Admin Phone Ext:
Admin Fax: +86.05922669759
Admin Fax Ext:
Admin Email: 41290478@qq.com
Registry Tech ID:
Tech Name: yujie
Tech Organization: yujie
Tech Street: beijing
Tech City: shi jia zhuang shi
Tech State/Province: he bei
Tech Postal Code: 100000
Tech Country: CN
Tech Phone: +86.05922669759
Tech Phone Ext:
Tech Fax: +86.05922669759
Tech Fax Ext:
Tech Email: 41290478@qq.com

通過這些信息,可以看到一些有趣的東西:


註冊城市和省份寫的是石家莊市,但郵編和接到地址卻寫了北京,而聯繫電話的區號是 0592,這是廈門的區號。


組織名和註冊人名字都是 yujie,看來這是個人行為?或者是實施此行為的組織內部管理不夠嚴格?


註冊人可能將 QQ 郵箱作為主郵箱,從概率上來說,此人的技術水平很有可能低於平均值。

DNS 伺服器對應的是 DNSPod 的個人專業版伺服器。


此人不會使用 WHOIS Privacy 保護自己(都上 DNSPod 的收費版了,可能會沒錢上 WHOIS Privacy 嗎?)

直接訪問 www.fenghaoda.com,得到 HTTP 403 錯誤,訪問www.fenghaoda.com/robots.txt 還是得到 HTTP 403 錯誤,使用搜索引擎查詢 site:www.fenghaoda.com 沒有結果。


好吧,直接訪問 fenghaoda.com ,結果發現這是一個面向移動端的網站,網站內容看起來像是一個應用市場。網站最下方署名「西昌時空文化傳媒廣告有限責任公司」。


應用寶被劫持到的地址是 http://s3.fenghaoda.com/Download/main?pid=5 ,我把 pid 參數改成其他值,發現可以下載到 PPAssist,SogouMall 之類的應用。看來這些廠商也會劫持用戶的流量?當然這不一定,也有可能是廠商提供安裝補貼,然後某些人就以流量劫持的方法謀取這些補貼。這是我接下來要討論的問題。


那麼,劫持流量的人是誰?我們沒有直接的證據,只能猜測。


從目前搜集到的信息來看,實施劫持流量的可能是下面幾種人或組織:

  1. 電信運營商主動劫持,並獲取廠家的應用安裝補貼。
  2. 黑客以牟利為目的自發地進行劫持。
  3. 廠商自己花錢請人(可能是黑客、運營商官方或者是運營商內部有許可權的工作人員)劫持流量,推廣自己的應用。

首先第二種,也就是黑客自發劫持不太可能。以「應用寶 劫持」為關鍵字搜索一下就會發現,這個現象在全國都有,憑黑客一人或幾人之力不太可能在全國進行如此大規模的劫持。


第一種和第三種情況都需要有運營商的參與,事實上這也和觀察到的現象比較符合——偽造的 HTTP 回包比真正的 HTTP 回包更早達到客戶端,而且延遲很短(從圖上可以看出,從發出請求到收到假回包,時差只有不到 10 毫秒),這表明包很有可能是在較近的路由上發回來的,這就需要運營商的支持才能做到。如果在網站伺服器所在機房進行劫持,假回包的時差不可能這麼小。


從目前搜集到的信息來看,也就只能把可能性縮小到第一種和第三種情況上了。但是,不管是哪種情況,運營商都是難辭其咎的。


於是,又到了工信部出場的時候了,如果你再次遇到了被劫持的情況,就可以向工信部投訴,投訴理由可以是這樣:


「我認為電信運營商劫持流量,將我要下載的應用替換成別的應用,這嚴重影響了我的下載體驗。我要求運營商停止劫持行為,並給予合理補償。」

當然,運營商肯定會矢口否認,這時候,你可以再次投訴,投訴口徑如下:

「我遭到了 HTTP 流量劫持,由於運營商否認是他們進行流量劫持,故我認為流量劫持是由於黑客攻擊了運營商的網路造成的。我要求運營商加強網路安全建設,並調查流量被劫持的原因,給出調查結果,同時給予我合理的補償。我已經請專業人士檢查過我的電腦,確認我的電腦沒有中毒,路由器等網路設備沒有問題,可以確定流量劫持是在運營商的設備上發生的。」

這回運營商就沒辦法了。


其實我早就想投訴了,不過一來懶,二來最近也沒怎麼被劫持了,所以就沒去投訴。現在好不容易抽出時間來寫這篇文章,如果你看到了,被劫持了,行動力又很強的話,歡迎你去投訴。

對了,投訴的時候先直接打運營商客服電話投訴,然後再投訴到工信部並表明你對運營商的處理不滿意,這樣工信部才會受理哦。


我覺得"微下載"這個答案很不負責任。。。你只要記住鄙視你的運營商救好了。


反對目前的所有答案。

經常在酷市場混的朋友可能會發現,評論中經常出現有人反饋下載app下回來變成應用寶的情況,雖然我自己還沒有碰到過這種情況,但是根據酷市場中網友的評論可以得知這種情況已經不是少數的個例了,酷市場的小編也認為是DNS劫持所造成的,通常重新點擊一次下載就能下到真正所需的軟體了。因為apk都是放在酷市場自己的伺服器上的,點擊直接獲取目標apk鏈接,所以不可能是目前答案中所說的什麼微下載所造成的問題。

我知識有限,唯一能想到的答案(僅僅是純猜測,你視作陰謀論也無所謂):騰訊聯合某些地方的運營商,隨機劫持了部分app市場的下載鏈接,在解析地址時解析到應用寶的地址。抱歉我沒有能力給出證據,這僅僅是我自己的猜想,覺得錯誤的人歡迎點擊反對+沒有幫助。

@Fenng 可以嚮應用寶的市場推广部門私下求證一下,看看我的猜想有沒有對。

如果真的是這樣,應用寶你的吃相太難看。


可以初步分析是DNS劫持,所以我同意 @梁文濤 的看法。一下我列舉一些例子來分析題主的問題。
首先,題主所說的2情況,是肯定的,也就是大部分答案所說的所謂應用寶事先判斷了用戶手機是否安裝了應用寶,沒有就安裝應用寶,有則打開應用寶下載家庭用藥。
那麼接著我來分析題主的1和3的情況。
在我看來,其實3和1情況一樣,通過對百度的網站的分析可以看到百度下載的apk文件地址並不是百度的伺服器,而可以選擇來源,比如下圖:

而選擇什麼來源則是自動的,我經常下載軟體的時候注意到都是來自酷安,我還默默吐槽一句,百度是盜鏈么,還是真的有合作?(這不是重點。

也就是說,有很大的幾率你下載的軟體是來自酷安。
接著我們再看幾張酷市場評論的截圖:

我還見過酷安小編回復過這個問題,不過找不到了,大概意思就是說不是酷安的問題,他們沒必要推薦競爭對手的產品。
我覺得把,大致推斷是酷安的地址在部分地區DNS被挾持,解析到應用寶的下載地址去了。。本人是沒有遇到過,只是大致推斷!利益相關:酷市場,GooglePlay 死忠!極少用其他市場。


我暫時沒有在酷安遇到過,倒是在百度(又或者是豌豆莢,記不清了)碰到過
環境:長城寬頻 手機連的wifi
在手機上打開百度應用(或者是豌豆莢)網頁版下載一款應用,第一次 下載了個莫名其妙的應用,取消又點,這次下載的東西又不一樣了,反覆了三次 才下載到我要下載的應用。三次下載的文件名都不一樣。。。


廣州電信用戶,表示最近發生過三次類似事件,一次變成應用寶兩次變成百度系
DNS走的114
(要下載部分google play上沒上架的東西才直接下apk我也不想啊


DNS污染。換DNS+走VPN完美解決


騰訊和某些地區的ISP合作,通過污染DNS來劫持各大市場的流量,推廣自己的應用寶。

利益相關:某應用市場前端 ╮(╯_╰)╭


應該是你點擊的下載鏈接或掃描的二維碼,是應用寶「微下載」功能生成的。

騰訊應用管理中心的介紹如下:

應用寶微下載功能簡介:

微下載是應用寶基於二維碼掃描和分享功能,為開發者推廣應用時,實現多場景一鍵下載安裝的能力。能為應用大大提升從推廣到安裝激活的轉化率

1.多種推廣場景應用

微信掃一掃,瀏覽器掃描二維碼、微信分享、朋友圈分享、微博推廣、公眾號推廣等場景適用。

2.一個鏈接,推廣兩大平台版本:

自動判斷下載用戶手機操作系統,安卓用戶直接進入應用寶安裝應用的安卓版,而IOS用戶可自動跳轉Appstore下載應用的IOS版本。
自助生成微下載推廣鏈接

您已成功申請過微下載能力,可直接使用以下地址進行推廣:

注意一點,「安卓用戶直接進入應用寶安裝應用的安卓版」,當用戶通過固定的鏈接或二維碼,下載家庭有葯時,會進行判斷,如下圖。

說一說部分團隊為什麼會選擇應用寶「微下載」的苦衷:
通過微信ios版掃描二維碼(非微下載),進入下載頁點擊下載按鈕,無法跳轉的app store。而通過微信ios版掃描微下載二維碼,進入下載頁點擊下載按鈕,就可以跳轉的app store。無奈的是,推廣時多數用戶會選擇用微信掃描二維碼。
騰訊的產品環環相扣,「考慮的我們是一個小廠商」也只能屈服於其淫威之下。


這個是騰訊推出的微下載,會單獨生成一個鏈接,可以在騰訊開放平台後台生成。

1.具體邏輯為:
安卓手機:如果安裝了應用寶,跳到應用寶相應的該應用(比如這裡是用藥醫生)的下載頁。
如果沒有安裝應用寶,先安裝應用寶,安裝完畢後自動打開應用寶跳到該應用的下載頁。

蘋果手機:自動跳轉到App Store該應用的頁面。

2.微下載對開發者和用戶有什麼好處?
·自動識別iOS、Android設備,方便開發者進行應用分發
·避免了用戶在微信等騰訊產品內點擊應用下載鏈接或掃描二維碼要在右上角瀏覽器中打開的尷尬

3.為什麼要下載應用寶?
簡單的說就是騰訊在搶佔應用分發的市場份額,應用寶是他們在主推的產品。


應該是在下載鏈接上綁定了應用寶的鏈接,如果手機沒有應用寶,會先下載應用寶,然後再下載所指軟體。

確實挺噁心的。


——————

應該如 @梁文濤 所講。


說「微下載」的,你們估計是沒有搞清楚問題所在。我也遇到了,直接在酷市場的app里下載,而不是什麼網頁鏈接,也是這個情況,我這幾天碰到無數次了,火都火死了,更新apk,經常就是簽名不對,一卸掉原軟體,才發現要裝的是應用寶或者什麼百度衛士,還有一次出現360瀏覽器,我去…… 妥妥的是DNS污染吧 酷安會推薦這些競爭對手的產品?腦子不好使么?


不開 HTTPS 的下載都是刷流氓……


一年多了, 該流氓的繼續流氓, 甚至還變本加厲得流氓. 說明有些流氓apk的背後, 就跟郭mm 與天津 背後的男人一樣, 強大得你無可撼動.


別點什麼高速下載!!!!
切記!!!


我經常碰到這種情況,基本每一次重置系統後把常用軟體一個個安裝,都有一兩次下載到。


國內DNS劫持猖獗,不用運營商DNS可以解決部分。


我最近遇到的情況是無論從哪個市場下載apk,都會偶爾下載到一些不知名的其他apk。再點一次下載鏈接可以下載到正確的apk。

估計是運營商在路由器檢測到apk地址後間歇地劫持用戶到其他地址。目的是賺取下載和使用apk所帶來的推廣收益。打算投訴電信的增值業務部門,以前他們就做過類似的事,那時候是打開網頁的時候插廣告。

這種做法和DNS劫持是不一樣的。因為DNS解析會被本地緩存,劫持DNS會造成持續比較長的影響。

因此更換DNS是無法解決這種劫持的。


推薦閱讀:

目前(2011 年 6 月),各種智能手機操作系統有哪些優劣?
Android App 中支持 GCM 推送的有哪些?
Android 上有些遊戲為什麼針對 CPU / GPU 做這麼多適配版本?
Android 平台最好的 Google Reader 客戶端是什麼?
MOTO G、MX3 和 Nexus 5 選哪個比較好?

TAG:Android應用 | Android | 應用寶 | 家庭用藥 |