首先给互联网大厂说声抱歉，得罪时间又到了，这次到了参与纵容流氓推广的某手机浏览器。这篇文章照例归类到我的造作实验室专栏系列。PS:这篇文章为了等待投诉结果，特意晚了几个月才发。

事情起因

这事情还需要从蝙蝠说起，以前正常打开网页莫名跳转到这类页面都是直接关掉，但那期间正好有时间，我就好好的扒一扒这恼人的东西。首先放上论证结果，路由和手机已经设置过干净DNS，但这现象依旧，并且在还未装APP的全新的手机打开网页也会有遇到，所以，只能推测是ISP劫持行为。

先来扒这页面，这类页面会在很多正常访问的页面莫名跳转，且还能让手机发生震动，甚是稀奇，通过视觉、触屏让用户身临其境的感受到你手机可能真的出问题。然后不管你点击弹窗确定还是取消还是返回，基本都是继续弹出下载提示。如果你们这边网络环境也遇到这种劫持推广，直接关掉当前页面标签，或者直接终止浏览器应用吧，点击浏览器返回也是没用的。

挖掘真相

回到这个文件，既然你这么热情的推荐我下载安装，那我就下载来看看这个baipai*****.apk(部分其他渠道的劫持推广可能是纯数字的名字)是个什么东西。图标倒是挺手机官方风格，其应用名也就是叫“浏览器”。就是为了伪装自己是系统浏览器。但，APK包名出卖了它。通过工具看到包名为sogou.mobile.explorer.online。至少目前看来，它和搜狗脱不了干系，baipai这个文件名推测是厂家定制推广的白牌浏览器意思。

找了一台手机，断网安装查看了下，打开关于页面什么版权信息都没，只有一行版本号，这是不合常理的，虽然没有明显之处说明是搜狗浏览器定制的，但依然能从细节看出，譬如首页的第一个推荐网站是搜狗，设置里的搜索选项默认也是搜狗。

继续找出官网目前最新的搜狗浏览器，首页布局和关键图标ICON说明了一切，这搜狗浏览器和前面的白牌浏览器就是一个模子里出来的。

解包这个apk文件，可以看到其r/q目录下的2个不同的启动闪屏图彻底暴露了它就是搜狗浏览器为了暗戳戳推广的白牌定制版，通过推广合作，达到强制用户安装，这用户装机量和活跃度显然都是会被统计入搜狗的，互联网企业是最看重装机量，哪怕推广过程干不干净。顺便吐槽一句，既然图标和应用名都换了，为啥slogan却不换下，伪装系统浏览器不够到位。

环节追溯

那么究竟是谁在从中搞鬼？是搜狗本身？还是协同第三方？为此我在手机书签里导出了这个问题页面。看网址，里面的问号后面是当时手机携带提交了本机的访问时间，再后面的t=应该是推广渠道标签。在电脑上打开，原本隐藏在页面底部的一段备注的话露了出来，仔细看上面截图，隐约可以看到这段“注：该页面为推广浏览器的广告页面 注:如需退出，请尝试多次点击后退按钮或长按home键退出 广告和设备生产商公司无关”。其实你点击返回都很难退出，只能直接关掉当前页面标签，或者直接终止浏览器应用。并且这种企图免责的话术背后是害怕吃手机厂家的官司。

在查看这个网址的源代码，页面头部信息伪装成世界杯相关内容，并未发现让手机震动和其它关键代码，但发现了

然后进一步打开前面源码里的蓝色高亮标识的网址，浏览器显示是空白页面。不急，查看源代码就能发现玄机。里面又有一个关键词

打开前面的套娃网址，套嵌的最终页面终于呈现出来。查看这个p0054z.html结尾的页面源码，看我上面黄色高亮区域，调用手机震动的js代码、搜狗白牌浏览器下载地址、劫持后退操作、欺诈提示更新的内容代码统统都呈现出来。其调用的下载地址就是sogou官方的cdn域名。两者脱不开干系。

这个套娃的最终页面源码较多，继续补充一组，看右上角黄色标注，推测原本除了调用安卓机的震动API外，还要增加提示音来唬人，不过这个提示音网址已经无法访问，所以也没听到这个声音，但单独访问ercfh/com明显可以看出是个不正规网站。另外在套娃最终页源码底部可以看到cnzz统计代码，顺手一个邮件举报，就看看cnzz会不会处理这个账户。

进一步去查询这个喜欢套娃的xi9p域名，发现其联系邮箱是55h1的。

55h1页面底部可以看到所属为邦宁科技，按页面说明，它隶属于邦宁科技，55h1是一家国际化的域名服务商，但我看着这页面很不正规。

继续用域名反查看了下它代理注册的域名，看这些名字就能判断都是一些杂乱的临时域名，多数无法访问。不知是55h1比较宽松和不监管的原因，还是恶意与垃圾网站喜欢55h1，但让用户遭遇到这些垃圾页面的困扰，你们都不是无辜的。还有阿里云也是，另一些这种垃圾推广浏览器域名空间服务是阿里云的，显然存在监管漏洞。

继续回来说说被我扒的这个xi9p，查询居然还有ICP备案的，不过显然的信息是假的。

既然有ICP备案，却是违规经营，那么就来举报一波，也希望大家以后见到类似页面及时保留证据，及时举报，你举报，我举报，清净环境靠大家~

篇末有感

最后，套用一句不是恰当但非要引用的话：雪崩之际，没有一片雪花是无辜的，站在后面的搜狗也一样。另外，也有遇到类似问题的小伙伴，行动起来，投诉走起。你还可以把手机浏览器的UA改为电脑版或者iPhone，能解决部分这种页面，但也会影响部分识别调用手机应用等操作。

最后的最后来个彩蛋图吧，这两年类似另两种恶心行为汇总：页面恶意唤醒应用和劫持下载应用。尤其是下面这个UC浏览器，最为纵容第三方采用劫持apk文件，经常遇到下载apk打开安装才发现是UC浏览器的包，甚至在一些市场里下载也都会遇到。最近一次是我在电脑浏览器打开搜狗手机浏览器官网下载对比取证搜狗浏览器的包，结果下载下来的却是UC浏览器的包，多次刷新下载，才下载到搜狗浏览器的包。流氓劫持流氓行为也是有趣。

最后的最后的最后，等到这个网站终于被封禁了，我才放心的发出了这篇文章。