如何看待搜狗输入法通过云控下发模块篡改浏览器配置？

感谢 IT 之家网友最亮的派大星、兰花是我的线索投递！
IT 之家 9 月 20 日消息，火绒安全公众号今日发文称，火绒威胁情报中心近期监测到一款专门锁定浏览器主页的病毒正加速蔓延。经溯源，该病毒的源头指向搜狗输入法。 IT 之家注意到，文章称搜狗输入法通过其 Shiply 终端基础发布通用模块，向云端请求控制配置。在下发这些云控配置中，会结合用户画像：例如所在地区、时间等诸多维度进行精准推送。由于 Shiply 平台本身具备灰度发布能力，据此推测，攻击者很可能先通过小范围灰度测试验证效果，再进行大规模传播。 文章称，该病毒的推广模块会首先检测用户设备上的杀毒软件，随后通过篡改配置文件的方式，强制修改 Edge 与 Chrome 两款主流浏览器的主页及默认搜索引擎设置。目前，火绒安全产品可对上述推广模块进行拦截与查杀。 1 、样本分析 本文提及的搜狗输入法版本为 15.7.0.2192。1.1 、云控配置获取与推广模块下载 配置拉取源头：搜狗输入法将会借助 SGBizLauncher.exe 程序附加参数 -lappid=configupdate 进行拉取云控配置，该 SGBizLauncher.exe 程序会被输入法组件 SogouPY.ime 执行，执行间隔为六个小时一次。此输入法组件为 DLL 文件，将会通过用户切换至搜狗输入法时被加载。 ▲ 六个小时间隔配置拉取 设置 Shiply SDK 参数：在 SGBizLauncher.exe 程序中，将通过 Shiply SDK 拉取配置。在此之前，需设置 APPID 、 APPKEY 、 BundleID 、应用版本等参数，测试后发现其中 APPID 与 APPKEY 为关键参数，其将会决定拉取的配置。 ▲ 设置 APPID 、 APPKEY 等参数 Shiply 发布平台设置云控配置：搜狗输入法会借助 Shiply 发布平台设置云控配置，此发布平台可以通过规定时间、地区、应用版本号等条件来进行精准下发云控配置，且具备灰度发布等放量策略，可先进行小范围测试。对此次事件进行评估，亦是由于灰度发布或精准下发所致，故而未涉及更多用户。 该数据库具体路径为： 上图为分析测试场景下的云控配置与本地数据库对应关系图，下图为搜狗输入法真实用户场景下的云控配置对应的数据库图，其中 smart_task_config_1 所对应的 JSON 数据内包含推广模块下载地址。 随后从云控配置（JSON 数据）中提取数据后，将数据存储至注册表 火绒安全：搜狗输入法云控下发模块，「暗中」篡改浏览器配置
https://www.zhihu.com/question/1952759970803196309

作为一个被搜狗输入法坑惨的老用户，看到新闻气得我差点把键盘拍碎。那些说"免费就该忍广告"的圣母们歇歇吧——这根本不是广告的问题，是骑在你脖子上拉屎还要你夸姿势帅的流氓行径！

去年我电脑突然变成弹窗嘉年华，浏览器主页天天被篡改成山寨导航站。杀毒重装三遍都没用，现在才明白，原来每月交着会员费的我，在搜狗眼里不过是颗包了金纸的韭菜。

仔细想想最毛骨悚然的是他们的作案手法。靠着Shiply平台玩灰度发布，把用户当实验小白鼠。你永远不知道哪天打开电脑，输入法会突然变身特工，像蟑螂似的从键盘缝里钻出来捣乱。某些病毒都没这么"专业"的投放技术，不愧是"最懂中文的流氓软件"。

卸载？太天真了！我那个做程序员的朋友折腾到凌晨三点，发现就算用专业工具深挖注册表，那些恶意模块就像打不死的小强，过几天又冒出来开狂欢派对。这根本不是技术漏洞，根本是精心设计的电子狗皮膏药。

更可笑的是隐私保护。一个输入法要收集地域时间软件版本，难不成是要预测我什么时候想骂娘？昨天对着屏幕怒敲"搜狗真孙子"的时候，它倒是反应挺快给我首推这组词。评论区居然还有人洗地，合着被PUA久了还上瘾？

最后说点实在的：趁早换输入法保平安吧。Windows自带输入法虽然笨点，起码不会半夜偷摸给你装全家桶。要是实在离不开那点云词库，建议丢虚拟机里用，权当养了只电子猴，记得每天检查笼子锁没锁紧。