找回密码
 注册

无节操智能时代!从小米路由劫持页面说起

2016-12-19 22:52| 发布者: halfsmoke| 查看: 674| 评论: 0

摘要:   小米路由器“劫持”用户页面的事件,最近闹得沸沸扬扬。有用户和媒体反映,小米路由器最新固件,会在用户访问到404、403等错误页面时,自动跳转到小米指定的搜索导航页;而小米路由器甚至还会在某些正常可以访问 ...
  小米路由器“劫持”用户页面的事件,最近闹得沸沸扬扬。有用户和媒体反映,小米路由器最新固件,会在用户访问到404、403等错误页面时,自动跳转到小米指定的搜索导航页;而小米路由器甚至还会在某些正常可以访问的网页中,注入额外代码实现特定功能。换言之,小米路由器会对原页面进行重定向或者修改,这引起了轩然大波,一时间口诛与笔伐齐飞,小米又一次成为众矢之的。


  不少人都认为,小米路由器的行为,功能违背了路由器的本质,影响恶劣。而小米则回应称,这些都是为了人性化体验,别有用心的人用“劫持”等术语煽动用户。那么小米路由器是否“劫持”了用户页面?在信息时代,隐私和人性化之间,到底如何界定和取舍?就让我们一起从路由器“劫持”页面说起吧。



  网页劫持是什么?

  轻点鼠标,网页即呈现在眼前,何其熟悉的操作。然而这简单操作背后的流程,并不是所有人都知晓。从用户点击鼠标、敲下回车,到网页显示,信息首先会通过浏览器发送,然后经路由中转,接着DNS将域名解析成IP,找到服务器后服务器会发送内容给用户,接着再由路由转发数据,最后浏览器将内容呈现给用户。视实际情况,这个过程中还可能存在更多关卡,比如说防火墙、代理服务器等。



小米官方论坛以及v2ex社区都有人反映小米路由器会劫持网页、注入代码

  由此可见,“用户点击→网页正常显示”这一过程,存在着非常多的让人篡改信息的机会。无论浏览器、路由、DNS、服务器等任一环节中出了叛徒,用户请求的网页就可能惨遭删改。这并不是危言耸听,实际上在国内,网络数据在传输过程中遭到删改的事件多如牛毛,比如说输入错误的网址居然会跳转到某导航页啦,点击软件官网的下载按钮竟能下载到第三方的仿冒品啦,访问某些国外网站会被跳转到无内容的IP啦等等——所谓的劫持,大致表现如此。



  小米路由器是否进行了劫持?

  路由起到的是数据中转的作用,对数据添盐加料的机会多得很。小米路由这次被推上风口浪尖,原因也很简单——小米路由的确修改了网络数据,而非为用户中转原汁原味的信息。根据用户反馈,小米路由主要存在以下令人不快的动作。

  ◆自动跳转页面

  首先,小米路由当检测到4XX、5XX(如404等)之类的网页错误信息时,会跳转到小米自家的搜索导航页“http://api.miwifi.com/error-page.html”,也就是说小米路由使用了自家页面,取代了服务器返回的错误信息页面。


小米路由会将404等错误页面跳转到自家导航页

  ◆注入额外代码

  其次,小米路由还会对某些正常的网页进行加工。比如说,在豆瓣电影的页面中,小米路由会在原页面加入小米路由手机App的推广链接,这属于网页代码注入行为。换言之,你经由小米路由开启某些网页,看到的不仅仅会是该网页的原内容,还会被加料。


v2ex网友提供的小米路由器在豆瓣正常页面私自注入代码的截图(点此查看原帖)

  ◆上传用户数据

  除了对用户收到的数据进行加工外,小米路由还会将用户发送的数据上传到特定服务器。根据网友分析,小米路由器会向服务器发送用户访问过的链接以及与之相关的设备信息,这些信息被不少人视为隐私。

  ◆以上行为未在显眼处告知用户

  虽然不少浏览器也会跳转某些页面以及为网页注入代码(去广告、比价插件等),但这大部分是在用户可控范围之内的(流氓浏览器除外)。而小米路由器在用户知情权方面,做得并不好。

  要关闭小米路由注入代码等功能,需要在手机中安装小米路由App,在“路由器设置”中开启“网页调试选项”,然后才能把对应跳转、推广关掉。显然,很多人并不会专门去发掘这样一个听名字像是为程序员服务的设置,再加之小米路由的代码注入本来就包括小米路由手机App的推广链接,要关闭这个推广链接则需要通过小米路由手机App……这简直是把推广做到了因果律武器的地步,无论怎样,这饼必须给公子喂下去。


开关其貌不扬隐藏得很深,同时需要手机端App

  总的来说,小米路由器在未明确告知用户的情况下,对网络信息进行了加工。无论小米路由器的动机如何,网络数据在通过小米路由器传输的过程中,的确遭到了擅自修改——这些行径,和网页劫持的特征一致。



  越来越无节操的智能产品

  对于“小米路由器劫持用户网页”的说法,小米路由器官方在日前已经作出了回应,全文如下。


小米官方对路由器劫持事件作出的回应

  可以看到,小米官方的确承认了跳转404页面,以及在网页加入“新功能提示”内容的行为。但是,小米认为这只是对产品作出的优化,“劫持”、“代码注入”等说法,只是在制造恐慌,煽动用户。太官腔看不明白?其实翻译一下就是:"和尚摸得,我摸不得?"“窃书不能算偷!窃书,读书人的事,能算偷么?”“我本意是想让你爽,所以这不是**!”

  按照传统观点来看,路由器起到的是数据中转的作用,原封不动地流转数据内容,即是其本职。但随着“智能路由器”概念的火热,路由器的职能似乎有了更多扩展。拦截广告、智能代理等卖点,越来越多地在路由器中出现。路由器有了更多的对网络信息做修改的能力,“原封不动地流转数据内容”,似乎已难以满足新时代的需求?


到底是你玩转智能路由器,还是路由器玩转你?(图片来源网络)

  然而,更强的能力带来了更多的危险。一台路由器如果拥有玩弄用户信息的能力,你就很难界定,到底是你在玩它,还是它在玩你。你想要的,它有权做;不想要的,它也有权做。不仅仅是路由器,在这个大数据信息时代,越来越多的互联网服务以“人性化”、“智能化”等理由,从用户手中接管了更多的控制权,窥探了更多的隐私。不得不怀疑,也许不久后,就能听到“我们的安装工可以在你家没人的时候,人性化智能化地破门入屋,帮你安装好家电”这种程度的广告词了——从“权限隐私换服务”的角度来看,现在小米路由器干的事情,和这个并没有本质上的区别。


大数据时代?这是个被IT大企业绑架、窥探的时代

  是的,也许在一些用户眼中,小米公司的确值得信任,用户大可相信小米公司虽然劫持了网页,但这只是为了让你更好地使用互联网,这完全是无私的、一心一意为消费者服务的行为。然而没有理由的信任只是信仰,即使是索尼,也不能让所有人高呼“大法好”。在这个大数据云时代,可以预见的是IT企业们还将会向用户索求更多的隐私和权限,同时提供更多的“贴心服务”;但如果这些服务的安全性只能用信仰来保证,实在太过儿戏!

  安装工在屋里无人时入屋安装电器并非不可接受——前提是拥有一套可靠的监控系统。大数据时代的智能产品,同样需要**建立起强有力的管控措施,来保证其不会滥用用户的隐私和权限。遗憾的是,我们所处的并非是一个井然有序的信息时代,对于越来越无节操的“智能化”产品,大家还是谨慎选择吧。

支持

反对

相关阅读

最新评论

招标网平台地图|Archiver|手机版|机械设计招标网 ( 京ICP备17072296号-4 )

GMT+8, 2024-11-22 20:24

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

返回顶部