Довольно популярный в Китае браузер Sogou похоже серьёзно вторгается в личное пространство пользователя, именно к таким неутешительным выводам пришли исследователи Азиатско-Тихоокеанского сетевого информационного центра (APNIC).
Стоит отметить, что APNIC является одним из пяти RIR-регистраторов и занимается распределением IP-адресов, номеров автономных систем, регистрацией обратных зон DNS и другими техническими проектами в Азиатско-Тихоокеанском регионе, наряду с APNIC существуют ARIN (Северная Америка), RIPE NCC (Европа, Ближний Восток, Центральная Азия), LACNIC (Латинская Америка) и AfriNIC (Африка).
На прошедшей вчера конференции APNIC 38 Джефф Хьюстон (Geoff Huston), Джордж Михаельсон (George Michaelson) и Байрон Еллакот (Byron Ellacot) представили своё исследование по довольно странной интернет-активности, большая часть которой всплывает в Китае и выраженной в следовании неизвестных инернет-сервисов по уникальным ссылкам, предназначенных только для пользователей.
В APNIC на основе Google Ads разработан небольшой тестовый скрипт, с помощью которого в организации обычно измеряют степень распространённости набора расширений DNSSEC и протокола IPv6 среди конечных пользователей. Обычно за день может происходить около 500000 тестовых проверок. Каждый такой запуск генерирует уникальную ссылку, а ссылка соответственно привязана к серверам APNIC, поэтому абсолютно все попытки доступа к ресурсу по ссылке фиксируются.
Что же обнаружили исследователи в логах веб-сервера:
[22/Jan/2014:00:10:21 +0000] 120.194.53.0 "GET /1x1.png?t10000.u3697062917.s1390349413.i333.v1794.rd.td
Мы видим уникальную ссылку, по которой браузер хотел загрузить изображение, стоит повторить - ссылка для каждого пользователя уникальна и повторений быть не может.
Чуть позже мы можем наблюдать в логе новую запись:
[22/Jan/2014:00:11:29 +0000] 221.176.4.0 "GET /1x1.png?t10000.u3697062917.s1390349413.i333.v1794.rd.td
Абсолютно по той же ссылке спустя 68 секунд обращается другой уникальный IP-адрес, чего быть не должно!
За первые 248 дней 2014 года было получено запросов от 123 110 633 уникальных IP-адресов, 317 309 IP-адресов пытались получить доступ к уникальным ссылкам, по которым уже был зафиксирован запрос данных, то есть примерно 1 из 400 запросов является отслеживаемым неизвестными лицами.
Конечно же эти данные нужно дополнительно обработать и тщательно проверить, что и было сделано.
Итак, повторные запросы могут быть выполнены региональными прокси-серверами чтобы в дальнейшем предоставлять пользователям свежие данные из локального кеша, но прокси-серверы опрашивают внешние ресурсы циклами через определённое количество времени, в итоге они были отсеяны.
Может быть запросы также идут от провайдеров и\или национальных структур (таких как великий файрволл в Китае) - все данные были профильтрованы от подобных возможных случаев.
Также был проверен параметр user-string, который передаёт браузер при запросе данных, все повторные запросы идут от браузеров на Windows, в качестве движка браузера используется Chromium.
Возможно это вирус, эксплуатирущий ошибки в Windows или браузере Chrome? В данном случае исследователей заинтересовал дополнительный суффикс в строке user-string, который встречался довольно часто:
Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/28.0.1500.95 Safari/537.36 SE 2.X MetaSr 1.0
Что такое "MetaSr", как оказалось это облачный браузер Sogou Explorer, который по умолчанию проверяет запрашиваемые веб-сайты на присутствие на них здовредного ПО, значит активность по повторным заходам по уникальным ссылкам должна идти от облачного сервиса, у которого есть своя подсеть, исследователи сразу решили выделить всю подсеть 119.147.146.0/24, но оказалось, что запросов из данной сети очень мало.
Похоже большую часть повторных запросов за пользователями делают иные сервисы, большинство которых базируются в Китае, а предоставляет им всю активность пользователя скорее всего именно Sogou Explorer.
На данный момент представители компании Sogou, разработчика браузера, не давали никаких комментариев по поводу активности браузера.