偷偷问一句,下载金山文档时那些行为会被记录跟踪吗?

金山文档下载 ·
偷偷问一句,下载金山文档时那些行为会被记录跟踪吗?

为什么下载金山文档也会被跟踪?

说实话,我以前一直以为只有注册登录那些网站才会被盯着,下载个安装包能有什么好记录的?直到有一次我帮朋友在网上下载金山文档,无意间点开浏览器的开发者工具瞄了一眼,才发现那些下载站埋的东西真不少。你打开页面那一刻,你的操作系统类型、浏览器版本、屏幕分辨率、甚至你从哪个网站跳转过来的来源信息,都会被悄悄打包发走。

我那次用的是Windows 10,Edge浏览器,页面一加载就看到了好几个请求发向不同的第三方域名。有个叫“analysis.xxx”的地址,明显是统计用户行为的。还有一个是广告联盟的,你家网速快慢它都能知道,因为加载广告素材的时间已经被记录了。最让我吃惊的是,有些下载站甚至会记录你鼠标的停留位置——比如你在“高速下载”按钮上悬停了多久,是不是犹豫了,这些数据都会被画成热力图。

而且你注意到没有,很多下载站的页面设计得很刻意。真正的官方下载按钮往往藏在不起眼的地方,或者被那些花花绿绿的“立即下载”、“极速下载”给盖住了。这些按钮点下去,先跳个中间页面,再弹个广告,最后才给你一个打包好的安装器。整个过程你的每一次点击、每一个页面停留时间,都会被一串类似“?utm_source=xxx&utm_medium=cpc”这样的追踪参数记录下来。说白了,这跟你逛淘宝被推荐商品是一个道理,只不过下载站用它来判断哪种诱导方式更容易把你骗到。

安全纯净无广告·无捆绑全平台支持Win·Mac·手机持续更新紧跟官方新版本

官方渠道和第三方站点的记录差异

我最早吃过的亏就是从第三方下载站下的。当时急着用,百度搜“金山文档下载”,前几个结果点进去全是那种“XX下载网”、“绿色软件园”。页面底部一行灰字写着“本站内容均来自网络,如有侵犯请联系”,我当时觉得没什么,现在看来这就是免责声明,意思就是他们只管发垃圾广告,出了问题别找他们。这些站点的跟踪标签多到夸张,我粗略数过,光第三方图片请求就有十几个,还有几个脚本直接在你的浏览器写cookie,即便你关了网页下次回来它还能识别你。

后来我学乖了,直接去金山文档的官网或者它所属公司的官方下载页面。官方页面干净太多了。我试过,打开官网下载页,请求数量不超过十个,而且基本都指向自家域名或者上传文件的云服务商。唯一的跟踪可能就是一个简单的访客统计,比如用百度统计或者谷歌分析,这个没法避免,毕竟任何网站都会用。但官方不会搞那些弹窗广告、不会把你引去下载流氓软件,更不会给你偷偷装个什么加速器。

区别还体现在下载后的行为上。第三方站点经常会在安装包捆绑一个你看不到的“推广追踪ID”。你点本页下载按钮获得的是个几百K的下载器,运行后才真的去拉主程序。这个下载器里就藏着推广者的ID,你一安装,记录就传回服务器。原作者或者官方可能一分钱拿不到,中间商却把提成吃了。我有个做软件分发的朋友讲过,有些小站点一个月光靠这个就能赚好几万,靠的就是你们每一次下载时被记录的推广代码。

下载过程中会自动上传哪些设备信息

那次用开发者工具抓包之后,我特意对比了正常下载和通过某第三方站点下载两种场景。光是一个下载请求头的参数,差别就很明显。正经的下载响应头就一行“Content-Disposition: attachment; filename=xxx.exe”,干干净净。但第三方那些,请求头里除了常见的User-Agent,还有各种自定义参数,比如“X-Site-ID”、“X-Referer-Check”,甚至有的会嵌入你的IP地址和端口号。

最让我觉得诡异的是,有一次我下载完安装包,不到十分钟就在另一个无关的网站上看到了跟金山文档相关的广告推送。这个速度太快了,不可能是手动处理数据。大概率是下载时某个脚本直接把我的IP和设备指纹关联,然后喂给了广告联盟的实时竞价系统。设备指纹这个玩意很厉害,它不一定需要cookie,而是用你电脑的显卡型号、字体列表、时区和语言设置拼出一个唯一的ID。你换个IP它照样认得你。

还有一点,无论官方还是第三方站点,基本上都能知道你下载完安装包后有没有真正运行。怎么做呢?安装包本身可以带一个极小的“信标”文件,比如一个1x1像素的图片,嵌在安装程序里。一旦你双击安装包,这个信标就会向服务器发送请求,告诉它“目标已执行”。这个技术跟邮件里那个显示“已读”的追踪图是一个原理。我试过把安装包放到另一台离线电脑上,没有任何报告。但只要连了网,就会回传数据。所以如果你特别在意隐私,可以在断网状态下装好再用,不过说实话对金山文档这种官方软件意义不大,因为它的功能本来就要联网。

不同浏览器的隐私模式到底保护了啥

我一度以为用浏览器的无痕模式或者隐私模式下载东西就万事大吉了。后来发现不是那么回事。隐私模式的好处是结束会话后本地的历史记录、cookie缓存都清掉,但服务端该收集的请求信息一样不少。我做过实验:在Chrome的普通窗口和无痕窗口里同时打开同一个金山文档下载页,抓包对比,请求的数量、内容几乎完全一样。唯一的区别就是无痕模式下,那些第三方广告平台没法留下长期持久化的cookie,但下载那一刻你的IP和浏览器信息照样被记录下来。

不同浏览器之间差别也大。我是主力用Firefox,偶尔用Chrome和Edge。Firefox有个加强跟踪保护功能,默认就拦截很多第三方跟踪器,我打开下载站页面时,地址栏那个小盾牌图标经常显示“已阻止X个跟踪器”。用Chrome的话得手动去设置里开启“Do Not Track”并安装uBlock Origin这种插件。我曾经同一时间在三个浏览器里打开同一个第三方下载站,Firefox拦掉了7个跟踪请求,Chrome只拦了2个,Edge更少,它自家系统的某些跟踪甚至不会显示在拦截器里。

但你千万别以为隐私模式就绝对安全。有种叫“超级cookie”的技术是存到你本地的其他地方的,比如IndexedDB或LocalStorage,隐私模式并不会清理这些。我在实验中用隐私模式下载完再清空全部数据,然后用普通窗口打开其他网站,居然还能看到针对我之前那次下载行为的推荐广告。这说明有些跟踪根本不受隐私模式限制,它们用的是浏览器层面的API,跟你开什么模式无关。

安装时的默认设置和用户权限提醒

我周围有不少人都是拿到安装包就一路点“下一步”,根本不看中间弹出的选项。但金山文档的安装过程其实藏了不少小心思。我记得第一次安装时,到了选安装路径那一步,底下默认勾着几个选项,比如“创建桌面快捷方式”、“启用开机自动启动”和“加入用户体验改善计划”。这三个选项里,最容易被忽略的就是那个用户体验计划,它实际上允许软件在后台收集你的使用行为,比如你点了哪个菜单、编辑文档用了多长时间、甚至是否频繁切换皮肤。

我一般装这类软件都会刻意把“开机自动启动”和“用户体验计划”勾掉。因为我用电脑喜欢装完所有东西后通过msconfig去关不必要的启动项,但很多人不懂。有一次我帮同事重装系统后重装金山文档,他直接点默认,结果第二天抱怨电脑开机变慢,一查发现好几个后台服务在跑,其中就有个叫“Kingsoft SoftSwitch”的进程,时不时联网传些零碎数据。我当时的做法是去安装目录的Config文件夹里找到一个叫update.xml的文件,把里面的autoReport项改成0,不过现在新版本估计换了位置。

另一个容易被忽略的是,金山文档的安装器可能会在后台修改系统代理设置。这不是空穴来风,我在一次抓包中发现,装完金山文档后,我的系统代理被调整成了绕过国内地址的模式,虽然不影响我访问国内网站,但对某些企业级的代理配置会有冲突。解决方法也很简单,装完后手动去Internet选项里检查一下“局域网设置”的代理勾选情况。如果发现被改了,重新勾掉就行。如果你用的是测速或者统计类的安全软件,装完扫一下会更安心。

下载后怎么检查是否被绑了追踪脚本

这个操作其实不难,稍微有点动手能力的人就能做。我一般是这么干的:下载完安装包后,不急着双击,先看看文件大小和来源。单纯的金山文档安装包一般在一百到两百兆之间,太长或太短都可能是带了额外东西。如果是从第三方站点下的,我会点右键选属性,切到详细信息页,看“数字签名”那栏。官方软件一定会有“Kingsoft Corporation”或者“Zhuhai Kingsoft Office Software Co., Ltd.”的签名,日期和状态都正常。要是没有签名或者签名者是乱七八糟的名字,我可以明确告诉你——赶紧删掉。

另一种比较靠谱的方法是,如果你懂一点命令行,可以打开PowerShell跑个简单的哈希值校验。官方经常会在自己的帮助中心列出来某个版本的SHA256值,虽然不一定每版都有,但只要你找到了一次,就能跟本地的文件比较。我把这个命令写了个别名存档,用的时候直接粘过去跑,输出32位或64位的那串十六进制码,跟官方公布的对上就没问题。对不上,哪怕差一个字母都说明文件被人动过手脚。

文件确认没问题了,再双击安装。装完后我还会用Process Monitor或者Wireshark这类工具监视一下安装过程中的网络行为。Process Monitor能实时显示所有读写文件和注册表的行为,比如你看到它创建了但删除了一个叫“temp_tracker.dll”的文件,基本就是有脚本想溜进来。Wireshark更强大,但入门门槛高,不适合所有人。如果你懒得用工具,一个笨办法是装完后打开任务管理器,观察一段时间里进程的网络活动。官方金山文档正常启动后,只会在你打开文档或联网检查更新时才有网络流量,如果它闲着没事就往外发包,十有八九是带了跟踪。

不想被跟踪的几个实用改法

讲了这么多记录的事,最后给点实际的解决办法。最简单的,就是定期清理浏览器里关于下载站相关的缓存和Cookie。我用的是CCleaner或者直接手动去浏览器设置里清,注意别只看历史记录,一定要选Cookie和其他站点数据。如果你比较在意,可以装个EFF的Privacy Badger插件,它能自动学习并拦截那些跟踪脚本,比手动配置省心多了。

再一个,下载前把浏览器的扩展程序临时关掉几个,尤其是那些广告屏蔽插件,其实它们经常也会因为被用来分辨用户而被检测到。更极端一点,我试过用虚拟机专门下载东西,装完把装好软件的虚拟硬盘克隆出来,接着在物理机上用。这样就算下载站塞进什么木马或者跟踪器,也污染不到宿主机。唯一麻烦的是得手头有套虚拟机环境,Win10的许可证也是个问题。

最后别忘了,结束下载后最好立即重启一次路由器,重新拨号换一个IP,因为不少跟踪系统会把你当时的IP记录进黑名单里。下次再用同一个IP访问那些网站,人家一看就知道你是回头客。我平时会用手机热点下载大文件,下完切一次飞行模式再切回来,IP就换了。方法虽土,但对杜绝精准的IP跟踪很有效。说到底,这些跟踪行为大多数是为广告服务的,你只要让它们拿到的数据不够精确或者不够一致,它们就很难建立你的完整画像。