近期�,健康之路(中國)信息技術有限公司(以下簡稱健康之路)接到部分用戶反映��,在使用我司產(chǎn)品及入口應用時�,存在被流量劫持的情況,具體表現(xiàn)為手機應用頁面不定時出現(xiàn)不良廣告及垃圾信息�����。這一問題嚴重影響了健康之路公司的品牌形象及用戶體驗感���。
對此��,健康之路公司聲明如下:
1�、流量劫持已經(jīng)成為互聯(lián)網(wǎng)環(huán)境下的毒瘤現(xiàn)象,劫持流量者提供的信息服務�����,完全脫離監(jiān)管���,甚至可能傳播詐騙、色情等低俗甚至嚴重違法信息����,這不僅嚴重違反了《中華人民共和國網(wǎng)絡安全法(草案)》,違背國家電信管理相關條例����,也是對《互聯(lián)網(wǎng)醫(yī)療保健信息服務管理辦法》的嚴重侵犯。正常的互聯(lián)網(wǎng)醫(yī)療健康信息運營均在行業(yè)監(jiān)管政策下規(guī)范運作�����,放任流量劫持將對互聯(lián)網(wǎng)醫(yī)療健康行業(yè)��,乃至整個互聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展帶來極為嚴重的不良影響���。我們對此表示強烈譴責���,并已向相關監(jiān)管部門報案��。
2��、流量劫持是指用戶在正常使用網(wǎng)絡應用時(比如APP�、微信�����、二維碼掃描���、網(wǎng)站訪問等)����,正常的通信數(shù)據(jù)在傳輸過程中��,被非法者竊聽�����、截取后強行更改正常的通信內(nèi)容���,植入廣告和低俗圖片等無效甚至有害的信息�����。之所以可以非法操作正常通信數(shù)據(jù)�����,是由于網(wǎng)絡傳輸協(xié)議http和dns技術被非法使用所致����。此非法行為存在偶發(fā)性���、隨機性�����,入侵點也是不確定的����,難以依靠我們自身力量予以根本避免與根除���。
盡管如此����,健康之路公司仍會積極應對,盡量避免流量劫持行為對用戶權益的侵犯�����,一方面通過采用數(shù)據(jù)加密安全傳輸�、監(jiān)控全國范圍內(nèi)重要域名的解析結(jié)果等系列舉措來應對流量劫持問題,一旦發(fā)現(xiàn)有嚴重的流量劫持��,將有專業(yè)的安全工程師快速響應�����,并向有關監(jiān)管部門及時報案���。另一方面積極與運營商緊密溝通�,尋求快速解決方案����,并開通用戶舉報郵箱:jkzl@jkzl.com,歡迎社會各界在使用我司產(chǎn)品及入口應用時��,發(fā)現(xiàn)相關問題后及時向我們反饋�����。
3、網(wǎng)絡無邊界����,但底線必須堅守。網(wǎng)絡不是肆無忌憚劫持流量的樂土�,任何僭越底線的行為,都將受到法律的依法懲處����。面對無時不在危害網(wǎng)絡安全的“流量劫持”違法犯罪行為,健康之路公司嚴重呼吁�,希望社會各界重視起來,共同與違法違規(guī)者斗爭���。健康之路致力于為公眾提供優(yōu)質(zhì)、貼心���、信得過的醫(yī)療健康產(chǎn)品和服務����,樹立醫(yī)療健康經(jīng)營者與從業(yè)者的良好口碑��,將從維護客戶利益出發(fā)��,積極推動社會各界共同打擊此不法行為,一起共同打造一個健康、誠信��、有序的市場環(huán)境�����。
特此聲明��!
健康之路(中國)信息技術有限公司
附���,在此對流量劫持現(xiàn)象予以解釋說明:
一���、什么是流量劫持?
流量劫持是指因HTTP及DNS網(wǎng)絡協(xié)議本身存在安全缺陷��,導致業(yè)務數(shù)據(jù)在網(wǎng)絡傳輸過程中���,被非法竊聽截取后篡改���,比如槙入廣告或低俗的圖片等內(nèi)容。
流量劫持問題類似通過偽基站發(fā)送給用戶的垃圾短信一樣���,強迫用戶接收并閱讀不相干的無效或有害信息����。
二、流量劫持的技術解析及實現(xiàn)方式
1��、流量劫持方式
目前的移動互聯(lián)網(wǎng)環(huán)境下���,流量劫持方式主要分為以下幾類:
(1)DNS解析劫持
用戶在瀏覽器輸入網(wǎng)址��,即發(fā)出一個 HTTP 請求����,首先需要進行域名解析���,得到業(yè)務服務器的 IP 地址���。使用傳統(tǒng) DNS 解析時��,會通過當?shù)鼐W(wǎng)絡運營商提供的 Local DNS 解析得到結(jié)果���。 域名劫持�����,即是在請求 Local DNS 解析域名時出現(xiàn)問題���,目標域名被惡意地解析到其他 IP 地址����,造成用戶無法正常使用服務��。
(2)數(shù)據(jù)劫持
數(shù)據(jù)劫持基本針對明文傳輸?shù)膬?nèi)容發(fā)生���。 用戶發(fā)起 HTTP 請求�,服務器返回頁面內(nèi)容時���,經(jīng)過中間網(wǎng)絡��,頁面內(nèi)容被篡改或加塞內(nèi)容�, 強行插入彈窗或者廣告��。
(3) 免費的開發(fā)組件
使用第三方免費的開發(fā)組件�,集成到自己的APP上時,也會導致訪問內(nèi)容被惡意修改�����;
(4)CDN被入侵
使用的CDN服務器被入侵了,緩存的靜態(tài)內(nèi)容�,比如JS腳本被惡意修改,導致用戶訪問網(wǎng)站也會彈出廣告����;
2、流量劫持的實現(xiàn)方式
(1)WIFI弱口令
(2)WIFI偽熱點
(3)WLAN基站釣魚
(4)路由器被入侵
(5)ARP欺騙
(6)DHCP釣魚
(7)其它
閩公網(wǎng)安備 35010202000982號
