为什么微信内置浏览器服务器获取到的IP不是真实IP，腾讯TBS安全云端检测功能

小樱

安全能力
一. 概述
Web业已成为移动互联网最普遍的技术形态，绝大多数移动App都包含基于移动Web的模块。由于Web技术的标准性和开放性，App内移动Web场景自身安全面临普遍威胁。移动互联网生态中灰色产业链可以利用典型如：DSN劫持、HTTP劫持、系统内核漏洞利用、恶意网址等恶意手段，较为轻易地实施窃取隐私、欺诈、远程控制等行为，并给合法应用和用户造成利益损害。

传统移动操作系统内核缺乏安全防护的能力，同时，传统的移动安全应用手段也难以为移动Web应用提供细粒度的保护；事实上，几乎所有的移动互联网应用Web场景都遭受过各类安全攻击。

TBS独立于传统的系统内核，基于云防护，本地热修复，腾讯安全云等能力，TBS能为移动应用Web场景提供高效低成本的E2E安全保障。

二. TBS典型安全解决方案
1. 防劫持
1). 流量劫持问题


线上流量价格攀升已经成为国内移动互联网不争的趋势；然后，却有这样一个灰色产业链，劫持合法流量进行贩卖获得非法收益。典型的劫持方式包括：

a. DNS劫持：

篡改正常DNS服务，当用户访问特定特定网址，将目标IP重定向到购买方或灰色产业链的网址或内容。

一旦劫持发生，对合法域名运营者而言，其经营的流量被导出到三方，不再产生收益；对用户而言，正常的网络访问被导入未知的网站，无法获得合法服务，并可能面临被欺诈、隐私被窃取等风险。

2015年11月，上海市浦东新区人民法院判决了全国首起流量劫持刑事案件，两名被告因售卖劫持的2345网站流量而被判刑；2345高管表示：2345网址导航的整体流量被劫持行为每个月会给公司带来三四百万元的损失。

b. 网页劫持：

篡改合法网页，植入各类广告，甚至各类恶意脚本木马。一旦劫持发生，对合法站点而言，其内容体验被严重破坏，有效内容可能会被遮挡；而当用户点击这些被灰色产业链植入的内容，后者即会获得非法收益，用户同样可能被导入访问虚假、欺诈的内容。

国内几乎所有移动应用，都或多或少遭受过劫持攻击；应用及其用户的合法理由，都受到过侵害。鉴于劫持问题的普遍和严重性，2015年12月25日，腾讯、今日头条、美团大众点评网、新浪微博、小米科技等六家互联网公司共同发表了《六公司关于抵制流量劫持等违法行为的联合声明》，呼吁，重视互联网流量劫持导致的严重后果，有关运营商严格打击流量劫持问题。

2). TBS解决方案和优势


由于劫持发生在云端，传统系统Webkit内核，基于标准HTTP/DNS协议，完全无法规避劫持行为。

TBS不仅仅包括客户端内核，也可提供云端代理方案。TBS云端代理与客户端之间，可通过加密报文传送数据，使得劫持点无法对报文进行分析和篡改，从而保护客户端移动Web流量避免被劫持。

对接入TBS的移动App而言，可通过配置一键获得防劫持能力。此外，TBS云端代理还可对HTTP流量进行压缩、加速等处理，为移动App带来快速、省流的网页访问体验。

3). 应用案例
作为国内最大的移动互联网应用，微信的庞大流量时刻被灰色产业觊觎。

目前，安卓端微信已100%接入TBS代理；有效保护微信内网页避免受到劫持侵害。

此外，京东等数个国内垂直领域顶级App也基于TBS方案有效规避了劫持侵害。

2. 系统漏洞热修复
1). 系统漏洞问题
所有操作系统都不可能绝对规避内核安全漏洞；而安卓系统在系统内核、系统浏览器内核安全方面面临的问题格外突出，表现为：

a. 安卓系统内核漏洞呈上升趋势：



https://source.android.com/security/bulletin/2016-08-01.html

b. 安卓系统严重碎片化：

作为开源系统，加之安卓智能手机种类繁多，安卓系统版本非常复杂，不同版本之间差异可能极为巨大。

在国内，智能手机行业如火如荼，厂商都对会对安卓系统进行定制化或本地化修改，国内安卓手机碎片化程度更为突出。

同时，google已停止为低于4.4的安卓系统提供补丁服务。

安卓系统的严重碎片化，使得系统内核补丁必须考虑不胜枚举的设备和版本种类，方案极为复杂。谷歌、手机厂商均难以有效提供完善的系统漏洞修复服务。

c. 安卓内核补丁链冗长：

安卓生态链冗长，硬件厂商、google、手机厂商、定制化系统开发商、运营商...每个环节都有自身的开发、维护、测试、品控流程。一个系统漏洞补丁方案，往往需要经过复杂的发现、解决、测试、下发流程才能到达用户；其过程极为冗长，有时甚至导致无法下发补丁解决方案。

d. 补丁升级过程繁琐：

Android系统内核漏洞补丁，Webview补丁必须跟随系统，或必须通过root等专业手段才能完成。对用户而言，操作过分复杂；因此即使终端设备获得补丁方案，也不一定能得到实施。

综上，安卓系统内核漏洞不仅体现在数量加速增长，更体现在修复方案难以有效实施。传统系统内核、三方安全系统，面对漏洞，都难以提供对用户有效地解决方案。

2). TBS解决方案和优势
TBS独立于系统内核，提供统一的浏览器内核解决方案。

TBS提供24小时安全解决机制，基于热修复方案，静默下载补丁，无需安卓系统升级，无需用户操作或等待。

TBS同时可以为低版本安卓系统提供补丁方案。



一些TBS系统内核修复case

因而，基于TBS的移动App，面对Webview漏洞，无需考虑复杂的碎片化问题，以及冗长的补丁链，也无需依赖系统或自身App的升级，解决方案极为便捷。

3). 案例
TBS多次在行业率先提供内核漏洞解决方案，效保障了合作应用移动Web场景的网络安全，如：

a. Android Webview安全漏洞曝光 腾讯浏览服务率先修复漏洞送达用户（http://finance.sina.com.cn/roll/2016-08-23/doc-ifxvctcc8305828.shtml）；

b. 安卓浏览内核再现安全漏洞 腾讯X5内核彰显优势（http://www.ithome.com/html/it/102021.htm）

3. 安全网址
1). 安全网址问题
恶意网站已经成为移动互联网公害，其可能通过：虚假博彩、病毒木马， 虚假网购， 游戏私服， QQ盗号， 虚假彩票， 虚假号码 ...等内容控制终端，窃取隐私，诈骗钱财等， 时刻威胁移动App和用户的安全。

此外，恶意网址也在不断改变躲避安全系统追踪的手段，如：利用合法网址的漏洞（如：http://zm1.transcode.cn/?url=http://www.qq.com&restype=2&src=http://182.254.244.197/void2.php/668.html&time=555&from=timeline&isappinstalled=0），URL跳转等，给安全系统查获恶意网址不断制造新的门槛。

移动App内容运营社会化已经成为普遍趋势，灰色产业链有越来越多的机会将恶意网址发布到移动App，并使其得到社会化传播。因而，越来越多的移动App在Web场景下面临恶意网址的威胁。

保护移动App应用Web场景安全，避免访问恶意网址事实上已经成为普遍诉求。

2). TBS解决方案和优势


依托腾讯产品体系，基于国内最大流量覆盖，腾讯安全云库可有效、即时监控恶意网址库和恶意网址行为。

基于腾讯安全云库，TBS可为应用提供有效的网址识别保护。

3). 案例
TBS服务于微信、手Q、QQ浏览器等超级应用，覆盖国内最大的移动Web流量；TBS每日为合作伙伴监控和发现超过95亿pv。

三. 总结
移动Web场景是移动互联网最为普遍的应用场景，也时刻面临各种威胁。

当前，系统Webview内核基本没有安全防护能力；而三方安全解决方案应对移动Web安全威胁，也缺乏有效手段，或必须在客户端进行root或升级系统等复杂操作。

TBS提供了一整套系统的安全解决方案。对移动App而言，接入TBS，获得增强的Web内核服务，并一并全面的移动Web安全保护，只需要接入一个size不超过200K的SDK，并进行相应配置，无需引入三方系统，也无需终端用户参与。

TBS将与合作伙伴密切合作，持续提升应对不断变换的移动Web安全威胁的手段，为合作伙伴提供全面、高效、低成本的安全解决方案。

官方介绍：https://x5.tencent.com/product/safety.html

测试页面：https://debugx5.qq.com/

Doddyさま

流量全通过腾讯中转…说实话我有些不放心………