时隔一年,小米路由又开始劫持招行信用卡网站了,如何看待?
去年闹得比较火的小米路由劫持404页面,后来小米提供了一个开关。我在关闭后也没太在意了,上周将小米路由升级为开发版,今天登录招行信用卡查询积分,发现顶部出现了百度搜索广告条。
几番周折,发现是小米路由搞的鬼,直接在网页里强行插入了一段js,然后在顶部显示一堆广告。
我到小米论坛提问,竟然有人反驳说我是故意黑小米的。360悄悄收集用户信息,被骂得狗血淋头,小米不但悄悄收集,还明目张胆插入广告,为什么还有这么多粉丝维护它呢?
进入招行信用卡网站,看底部源代码,小米路由植入了 http://s.miwifi.com/pcads/src/main.js 这个 js:
打开植入的这个js链接,里边的内容是这样的:
最后显示百度广告的js内容如下:
现在才发现,在firefox也有植入,不过我的firefox安装了广告屏蔽插件,所以一直没注意。
小米的植入方式也很粗暴,把整个jquery.js加载进来了,和有些页面本身的js冲突,访问招行网站总显示错误,把它禁用了,就正常了。
几番周折,发现是小米路由搞的鬼,直接在网页里强行插入了一段js,然后在顶部显示一堆广告。
我到小米论坛提问,竟然有人反驳说我是故意黑小米的。360悄悄收集用户信息,被骂得狗血淋头,小米不但悄悄收集,还明目张胆插入广告,为什么还有这么多粉丝维护它呢?
进入招行信用卡网站,看底部源代码,小米路由植入了 http://s.miwifi.com/pcads/src/main.js 这个 js:
打开植入的这个js链接,里边的内容是这样的:
最后显示百度广告的js内容如下:
现在才发现,在firefox也有植入,不过我的firefox安装了广告屏蔽插件,所以一直没注意。
小米的植入方式也很粗暴,把整个jquery.js加载进来了,和有些页面本身的js冲突,访问招行网站总显示错误,把它禁用了,就正常了。
18 个回复
邱智钢 白米Ⅲ级
赞同来自:
小米路由器在我当时回答完这个问题之后,小米更新迭代了几个版本系统,把这个流氓功能隐藏直至拿掉了。(当然只是时间巧合,和我的回答没什么关系。)
---------以下是原回答----------
极其不要脸的行为。不仅仅是信用卡网站,任何网站都有可能被劫持植入广告。刚一开始我还以为是电信运营商那边网关劫持,后来查代码发现全是 miwifi 的杰作。
甚至,连手机访问网页,也会被劫持加入广告:
看上面那一排恶心的百度广告,全是小米路由器加上去的。如果正常页面应该是下面这样的:
这种恶心的行为,有多恶心,不说了。
Vowstar 白米Ⅲ级
赞同来自:
首先连接小米路由器的WiFi,打开出现问题的网页,直接开发者模式:
我不知道该怎么说,且看这一段iframe代码:
我本来以为是电信运营商搞的鬼,还好有对照路由器。看到代码中的http://s.miwifi.com/baiduads/src/ad_pctext.html一切都明白了。
为了证明我没有冤枉小米,排除家里电信宽带的问题,我特地换非小米路由器,使用同一个电信运营商的网络访问相同的网页:
广告不见了,干干净净。果然不是运营商的问题啊。
我还测试过用手机关掉WiFi,打开4G网络,直接访问http://s.miwifi.com/baiduads/src/ad_pctext.html,哇塞,看看页面下方,广告出现了。
看到上面的广告条没?看来只要访问小米的域名http://s.miwifi.com/baiduads/src/ad_pctext.html都可以看到这条广告,不知道小米何时撤掉这个域名呢?
截图留证2016-06-13
-----------------------------------------------------------------------------
声明:我从来不主动开启任何的“小米路由器插件”,有可疑的插件,凡是能关闭的都关闭了,就差刷固件了(真应该刷第三方啊)。坐等米粉洗地。
看小米是如何把我从米粉变成米黑的。
-----------------------------------------------------------------------------
经过研究小米路由器/tmp/sysapihttpdconf/sysapihttpd.conf,已经成功移除小米路由器广告。
小米路由器是用nginx反向代理的原理把广告嵌入的,它使用一个叫rr的东西(不知道为什么叫这个名字)。先阅读小米路由器上/tmp/sysapihttpdconf/sysapihttpd.conf,经过分析得知有一个加密的文件放在/tmp/rr/*,这里面的文件决定了小米路由器在哪些网站插入广告。这个杀伤力太大不例举了,猜测小米由于某种原因加密了这个文件。知道原理以后就简单了,只要不让小米的nginx读这个文件就行了。方法一是修改小米的nginx配置:/tmp/sysapihttpdconf/sysapihttpd.conf,但是修改后会被强制还原,不爽。方法二是停掉小米的nginx:/etc/sysapihttpd stop,但是导致小米后台界面没法用了。(当然你愿意装原生luci也行)。下面主要讲最简单的方法三:
移除广告的方法:
1.开启小米路由器SSH(会失去保修)
2.使用root用户登录小米路由器
3.ls /tmp/rr/*,查看有哪些文件,删了然后mkdir建立同名文件夹
4.重启小米路由的nginx服务: /etc/sysapihttpd restart
然后小米路由器的广告条就没了。但是这是暂时的,/tmp在内存中,重启后会被还原。因此每次开机后都要来一次。为了方便可以写一个脚本放在/etc/init.d里干这种脏活。
-----------------------------------------------------------------------------
最后失望透顶,放弃原厂固件,刷了OpenWrt.
匿名用户 白米Ⅲ级
赞同来自:
路由器最重要的是保证你能稳定的上网,稳定的上网是指在任何条件下都能提供高质量的上网体验。但实际上满足这一条件的智能路由器并不多,有些路由器掉包极其严重,根本就不合格,小米的到是还可以,但是就实际体验而言,远远比不上刷了梅林的网件或者华硕等路由器,价格也没便宜到哪里去(京东有活动能把网件6300v2版本的价格压倒399,性价比奇高),所以目前基本找不到任何理由去买智能路由。
匿名用户 白米Ⅲ级
赞同来自:
网页方式配置完路由器界面会推送一次,默认都是勾选,你要不看仔细点了下一步就开启了,
用app配置或升级一样会推送,默认也是选择,只要点了好就会全部开启
如果当时没注意开启了可以在APP-路由器设置-上网场景优化里面手动关闭
相关推荐、延展阅读就是那些插入的广告,看片助手是视频网站插入的推荐视频,无效页面纠错就是炒的很火的404,比价助手是购物网站的价格插件,总之这里面的都关了就行了。
这个路由好多设置都得用APP设置,如果连APP也不想装只能手动改配置了
配置文件
/etc/config/vas和/etc/config/vasvas_user
0是关闭
config settings 'services'
option shopping_bar '0'
option baidu_video_bar '0'
option auto_upgrade '0'
option security_page '0'
config settings 'services'
option security_page '0'
option auto_upgrade '-1'
option news_bar '-3'
option baidu_video_bar '-3'
option ad_on_off '-3'
option shopping_bar '-3'
option invalid_page '-3'
无线电静默 白米Ⅲ级
赞同来自:
打打打)就知道加了也没用//误
招行网址:http://m.cmbchina.com/ http ttp tp
目测这个js实际是伪装成广告的加密插件。怕被误会才做成酱紫的,你们啊毕竟还是Too Naive,不懂得雷总的良苦用心……
然后,小米路由最不就应该刷个openWRT吗?//大雾
匿名用户 白米Ⅲ级
赞同来自:
令狐桓佑 白米Ⅲ级
赞同来自:
之前回答的完全不对,多谢题主赐教。之前打脸的揣测不删,提醒自己以后少说多学。
—————————————————
原回答
不知道你们有人用安卓的腾讯新闻吗?里面的广告全是我淘宝过的东西。小米这还仅仅是劫持,我这碰到的是非法获取隐私。
这就是中国。
麻辣土豆丝 白米Ⅲ级
赞同来自:
打开调试工具,高亮,才知道是小米路由器搞的鬼。
手机小米路由器应用打开,有个上网场景优化,里面多了一个“相关推荐”,并且默认开启。
然后搜搜看看有没有同样的情况,果然。。。
确实越来越不要脸了。
句点点 白米Ⅲ级
赞同来自:
匿名用户 白米Ⅲ级
赞同来自:
残照以为记 白米Ⅲ级
赞同来自:
不管咋样,好像广告和百度就脱不了干系。
对于广告的看法,引用之前声讨百度写的一篇文章里面的几段话吧:
一句话:有条件用 Https 协议的,抓紧换吧。
世界 白米Ⅲ级
赞同来自:
是吗!?
我捂紧了钱包里的招行信用卡,把小米路由器和小米网关从我的购物车清单里删除了。
半夜的冷咖啡 白米Ⅲ级
赞同来自:
匿名用户 白米Ⅲ级
赞同来自:
行走不回头 白米Ⅲ级
赞同来自:
KingBright 白米Ⅲ级
赞同来自:
J.Xiong 白米Ⅲ级
赞同来自:
我已远离,幸好哪天退了小米路由器3,继续使用我的841n!
图羊图森破 白米Ⅲ级
赞同来自: