解密非營利性 APP 從你兜裏賺錢的祕密：Charles 抓包

**不少相似地鐵 APP這類小型工具類應用，爲個體開發者獨立開發和運營，看似沒有成熟的盈利模式，實際在廣告上的收入很高，其主動獲取的用戶我的信息數據也能夠經過第三方公司整合後賣個好價錢。
非營利性 APP 也能賺錢？對，且暴利。祕籍就是 Charles 抓包。**

抓包工具被普遍用於互聯網的開發項目中，能幫助開發和測試工程師快速診斷和調試網絡相關問題。與開發和測試工程師側重點不一樣，業務風險分析師在研究某個網站或APP的業務模式和業務風險漏洞時，須要深刻了解客戶端請求和服務器端響應的特徵以達到流量分析的目的，抓包工具就是這一環節必備的攔截查看網絡數據包內容的可視化軟件。

常見的抓包工具備不少，如 Windows 平臺下的 Fiddler，跨平臺的 Charles 、Wireshark 和 Sniffer，以及做爲瀏覽器插件存在的 Httpfox 和 Httpwatch 。本次介紹的抓包工具是 Charles，其特色包括：

• 支持以純文本形式查看SSL的請求和響應

• 支持重發網絡請求和編輯網絡請求參數

• 支持攔截網絡請求並作臨時性的修改

• 支持AJAX調試，能夠格式化查看json或xml

抓包步驟

咱們以在 Windows 平臺抓包 IOS 平臺下的 APP 爲例：

第一步：在 PC 上安裝 Charles 軟件並進行基礎代理設置；在 Proxy Settings 中激活 HTTP 代理功能；在 cmd 命令行程序中輸入 ipconfig 獲取本機的 IP 地址，即稍後必須設置的手機代理 IP 地址。

第二步：在手機端選擇當前 WIFI 並設置代理地址及端口

第三步：HTTPS 站點的抓包。若要對 HTTPS 站點進行抓包，必須在手機端安裝 SSL 證書。根據幫助中的提示，手機在設置好代理地址後打開相應的網頁下載證書並安裝。

第四步：在手機端打開相應的 APP，Charles 界面彈出的確認框中選擇」Allow 」，便可顯示全部的請求與響應。

!bigsec][8]

雖然手機端已安裝 SSL 證書，但此時抓到的請求體和響應體都是加密的亂碼，還必須將指定的 URL 開啓 SSL 代理功能。

在 SSL 代理設置中加入要抓包的站點及其端口號，再次打開應用發現請求和響應體都已解密。

 

實戰解析

咱們以某個地鐵 APP 爲例，該 APP 提供非官方的地鐵地圖展現和換乘相關功能。不少這類小型工具類應用爲個體開發者獨立開發和運營，看似沒有成熟的盈利模式，實際在廣告上的收入很高，其主動獲取的用戶我的信息數據也能夠經過第三方公司整合後賣個好價錢。

按照上文的步驟設置手機代理、安裝證書、指定 SSL 代理站點並打開應用後，Charles 展現了大量和應用功能不相關的請求：

上圖

打開 APP 後的十秒內，客戶端一共向服務器發起 30 餘條請求，其中僅有 3 條是應用功能相關的請求，其他全是廣告類請求和用戶信息數據類請求。

經過 Charles 的篩選功能篩選圖片廣告類請求，能看到十秒內一共有 5 條針對 ipeg / png 圖片格式的請求。Charles 的響應體預覽中能看到圖片詳情，爲 5 幅不一樣的廣告圖片。

但實際用戶打開 APP 後只能看到第一條請求的大屏 banner，這就意味着另外 4 條廣告都是在用戶看不見的狀況下的靜默發生的，廣告主爲這 4 幅廣告的展現買單了，但實際展現並無發生。

目前數字營銷領域的廣告大體分爲兩大類：

• 品牌廣告以大企業的品牌宣傳爲主，多以千次曝光的形式計費，廣告主追求的是長期的品牌溢價；

• 效果廣告則多以單次點擊或單次行爲收費，更多關注廣告投放後短期內有沒有實際轉化和收益。

在實際投放中，廣告主每每但願投放的結果是二者兼得品效結合，但願一次投放能保證時間、曝光、點擊、地域、人羣、設備、轉化（註冊、購買、問卷等行爲）等多個指標。每一次廣告曝光都涉及媒體、投放中間平臺（DSP、adnetwork、adexchange等）和看廣告的人這三個主要環節，廣告主將一筆預算委託第三方平臺進行廣告投放後，其餘環節對他們來講就是非透明的難以掌控的，這種信息不對稱滋生了很大的數據做弊空間，其中的利益相關方可能有目的性的經過欺騙性手段實現廣告效果。曝光做弊、點擊做弊、轉化做弊的行爲並不鮮見，這也是廣告主投放廣告時的兩點核心困惑。

對廣告主而言，能夠經過簡單的數據分析方式發現一些明顯的異常點。一份疑似做弊的投放數據報告有以下特徵中的某一點或某幾點：

1. 點擊或曝光數據中的異常峯值

2. 點擊或曝光出現峯值時轉化數據並無增加

3. 點擊或曝光出現峯值時到站流量反而降低 

4. 點擊或曝光出現峯值時到站跳出率增加

5. 投放的媒體屬性和點擊的地域屬性不符（如投放某地域門戶網站但點擊數據集中於其餘城市）

6. 點擊時間曲線和媒體的流量曲線不符

7. 各廣告位的CTR與廣告形式的平均CTR不符（如橫幅廣告位CTR大於1%）

上圖

另外一類和應用功能不相關的請求是用戶信息數據類請求。在搜索引擎中搜索請求的域名，結果顯示爲第三方用戶行爲統計分析網站。從Charles請求體預覽中能看到POST表單中包含了用戶的地理位置、操做系統、手機序列號、手機容量等用戶信息數據。

也就是說用戶在打開APP的同時，我的的手機信息數據會被被動採集上傳至第三方數據統計分析網站。

在信息安全領域，內鬼的威脅其實要遠大於黑客，內鬼的觸角也不只僅在互聯網領域。不少app在安裝的時候會獲取大量和功能不匹配的權限，好比媒體類APP有讀取手機通信錄的權限、視頻類APP有獲取地理位置的權限等，我的信息數據無形中被大批量收集，而每一條用戶數據都是能以真實貨幣單位來估算價值的。

這些不正當權限獲取的最真實的第一手數據能被專業的分析師製做用戶畫像用於精準營銷，即便企業在主觀上沒有惡意利用數據，個體也不能保證這些隱私數據不被內鬼或黑客利用。多泄露一次隱私，隱私被利用的機會就可能呈幾何倍增加。

結語

從抓包結果能夠看到，此類小型工具類應用在打開的同時會加載大量和功能不相關的請求，一方面給用戶形成了沒必要要的流量損失，在廣告展現環節也有必定的欺詐嫌疑，另外一方面用戶的我的信息數據也在無形中被收集。相對而言，IOS系統的應用權限控制的較好。

在上文的例子中，應用僅能得到手機序列號、地理位置、手機容量這類不算特別隱私的數據，應用採集數據後通常會進行合理的用戶畫像分析和用戶標籤整理，root 過的安卓系統，用戶安裝了哪些應用、通信錄名單、通話記錄等極爲隱私的數據都有可能被後臺採集並在黑市販賣。至因而否放到黑市販賣，純粹憑良心和職業道德，用戶可作的主動保護措施不多。

做者大星  豈安科技數據分析師 3年互聯網數據分析及運營經驗，豐富的多行業業務風險反欺詐經驗，負責豈安科技產品運營及不一樣行業不一樣客戶的業務風險分析。