猎豹“点击欺诈”调查：谁在作恶？

　　欢迎关注“创事记”的微信订阅号：sinachuangshiji

　　文/司马子羽

　　来源：黑奇士（ID：hqssima）

　　“（假使指控真实）猎豹做的就是在抢归因，国内不少媒体都在做，只不过这次好像被老外抓现行了。”某不愿透露姓名的安全人士表示，“国内广告行业的作弊比老外揭露出来的要恶劣很多。”

　　“抢归因”是广告作弊行业的黑话：甲方公司要想推广自己的App，需要给广告推广公司支付一定的费用，每次安装3-20元不等。

　　要想支付这3元，需要知道用户在安装之前最后一次点击来自哪里，来自百度就给百度3元，来自搜狗就给搜狗3元。为了这3元的归属，所有的广告平台都在各显神通，争取把自己的广告渠道标识传递给甲方公司，或甲公司雇佣的效果监测平台。

　　这些用来抢夺3元归属权的技术手段，就被称之为“抢归因”；像猎豹这样的公司，在行业内被称之为“媒体”。（广告业内所说的媒体，跟咱们理解的大众媒体不一样）

　　此次BuzzFeed news报道的最初源头，是一家名为Kochava广告反欺诈方案提供商，位于美国爱荷华州。

　　黑奇士试图联系Kochava，索取详细技术分析报告，截至发稿时未获回音。

　　猎豹发生了什么事？

　　根据Kochava的指控，猎豹旗下的七款App，包括猎豹清理大师、猎豹安全大师、猎豹锁屏等世界流行应用，在监控用户的App下载，当用户下载之后，猎豹会把自己的广告代码传递给广告商，以此来获取广告商的下载分成。

　　除了猎豹之外，知名输入法Kika也受到了该指控（2016年，猎豹和天神娱乐投资了该公司）。

　　BuzzFeed news的报道中说，除了“抢归因”，猎豹这七款应用，还会在用户不知情的情况下，偷偷下载安装安卓App，当用户看到桌面上增加的图标并点击，猎豹也可以从广告商那里获得分成。（As an extra piece of insurance, Simmons says Cheetah’s Apps are also programmed to launch the newly downloaded App without the user’s knowledge. ）

　　在北京时间27日晚上，猎豹发布《对App安装归因问题的回应》：高度重视这篇文章中提到的问题，公司正在和所有SDK提供方沟通并调查此事。猎豹承诺，一旦问题查实，会对提供问题SDK公司停止合作。

　　28日凌晨，猎豹第二次声明，由于Kochava 提供了有关猎豹移动广告系统的不实信息，猎豹决定对该公司予以起诉。

　　受消息影响，在昨日的美股市场上，猎豹移动（CMCM）大跌32.84%

　　Kochava的指控真实性有待确认

　　黑奇士采访了多家国内移动安全公司，多位专家表示：Kochava揭露的这种事情在国内确实存在，但因为它未公布详细的技术细节（比如有恶意行为的App版本号，MD5值，监控了哪些App的新增下载等，有了这些消息才能重现问题），真实性还有待进一步确认。

　　顶象技术反欺诈专家分析指出：

　　BuzzFeed的报告如果属实，这里面涉及到三个角色：App（广告呈现方，这里指猎豹这样的媒体）、 ADSDK（广告分发平台，在这里指提供SDK的广告公司）、广告客户；其中，App和ADSDK是收费方，而广告客户是付费方。也就是说，两个收费方都有推广作弊的动机。

　　（1）如果是App作弊：表明 ADSDK提供的SDK被破解或业务逻辑被绕过。

　　路径是这样：用户授权App高级权限，也就是猎豹App在安装时要求用户同意的那些权限，电话本、地理位置等，绝大多数用户不懂，会直接点同意。这些权限会用来监听新应用的安装和信息读取。

　　当用户安装新的App后，>App（广告呈现方）监听到用户下载行为，于是伪造一个推广链接，发给ADSDK，于是抢归因成功，一个用户的自然下载被记录成了广告商的付费推广，广告主白白花了冤枉钱。

　　几年前，有用户通过某浏览器点击淘宝链接，会自动带上该公司的淘宝客推广码；下单支付后，就变成该公司的淘宝推广。当年该公司收到大量淘宝客的声讨，后来淘宝终止了和该公司的推广合作。

　　（2）、如果是 ADSDK作弊（猎豹的声明中暗示可能是SDK存在问题）：表明SDK本身暗藏的作弊程序或远程操控的后门。

　　（黑奇士注释：作为全球领先的移动安全公司，猎豹旗下的CM、CMS都拥有数亿用户，这样的公司如果说发现不了SDK的安全问题，情理上十分可疑。）

　　路径是这样：ADSDK拥有高级权限（监听新应用的安装和信息读取）——>当用户安装新的App后—>ADSDK（广告分发平台）读取应用信息后伪造推广链接请求—>发给广告商。

　　黑奇士采访了国内某移动安全专家，专家表示，如果是安全产品中嵌入广告SDK，一般会将其列入到安全软件的白名单中，不再对其行为做实时监控。因为如果监控的话，一方面会消耗大量资源，另一方面也可能会产生误报。

　　这点倒是跟猎豹的声明相吻合，“我们通过SDK集成与许多主流广告平台合作。我们通过SDK从这些广告平台获得广告，并显示他们的广告，我们无法控制这些SDK的行为。”（SDK加入白名单之后，其恶意行为会被安全软件放过，无法监控）

　　黑奇士认为，即使在嵌入之后无法对SDK的恶意行为做监控，但事前的SDK安全审核、提供商的过往信誉都应该是实际需要考虑的因素。因为事情如果已经发生，再说“断绝合作”就有点自欺欺人，毕竟广告主的钱是真金白银给了你，你如果只是“断绝合作”，那跟花了钱的广告主怎么交代，人家的损失谁来赔？

　　后续影响：猎豹股价大跌，全球广告主信心受挫

　　尽管广告行业内作弊盛行，但猎豹这种数字广告行业的领先者是首次遭到此项指控，这将大大影响到广告客户对数字精准广告的信心。以前遭到指控的都是不知名公司，而且事件往往不了了之。

　　按照业内人士的说法，猎豹遭到指控的这种“抢归因”在以往往往会被放过去。毕竟有真实用户下载，钱给了谁并不重要，广告行业的所有环节都是受益者：甲方有了客户，广告商有了代理费，猎豹这样的媒体拿到了广告分成。

　　对于用户，这些操作都隐藏在幕后，并未对用户的使用体验造成影响。

　　因此，大家都没有动力去解决这样的事情。

　　基于这种逻辑，猎豹的股价昨晚大跌32.84%，已经低于今日头条的股份价格和现金之和。这意味着市场认为猎豹的业务价值已经趋近于零。

　　但猎豹早上起诉Kochava的消息挽回了用户的少许信心，股价在盘后回升了11%

　　各方如何防范类似事情再次发生？

　　对于这种欺诈行为，受害最重的是广告主，比如游戏公司、工具软件等。对于这类广告主，应该加强自己的广告反欺诈能力，不要片面依赖于广告分发商、媒体自带的反欺诈。

　　顶象技术反欺诈专家指出，如果是SDK被破解或业务逻辑被绕过，可以采用顶象SDK加固产品对SDK源码进行安全强化，防止协议被破解，同时能够防御注入、调试、内存修改等攻击，保护敏感信息输入和敏感操作。

　　对于猎豹这样的厂商，我觉得应该加强自己的业务安全能力（猎豹曾是我的老东家，在感情上我不愿意承认这种问题是公司行为，如果问题真的存在的话），在把广告SDK列入白名单之前，一定要慎之又慎，毕竟，你赌上的是自己的全部信誉啊！

　　另外，除了发表官方声明之外，包括我在内的网友也希望看到更多证据，比如Kochava指控报道的完整版，文件名、下载路径、版本号、广告投放素材等，有这些东西，才能把事情的性质完全钉死。

　　而猎豹在声明起诉Kochava之外，也要拿出来更多证据，比如App里包含的所有广告SDK，这些SDK拥有哪些权限，这些权限的取得是否必要，等等，做一个完整的安全性审查，以此让个人用户和企业用户恢复信心。官样文章的声明和起诉，并不足以打消用户的顾虑。

　　最后，希望猎豹作为中国第一个真正走向全球的移动App开发商，要扛过这一关！

　　（黑奇士，业界首个安全自媒体，关注黑客、黑产和黑幕。合作请联系微信：364081445）