11月9日，喜馬拉雅FM在官方微博發(fā)布《四問(wèn)蜻蜓FM 關(guān)于數(shù)據(jù)造假敢不敢正面回應(yīng)》，喜馬拉雅表示，之前提供虎嗅蜻蜓FM造假造假線索，唯一的目的是讓廣告主投資人看到事實(shí)真相。

在此前幾天，知乎上由知友曝出的的蜻蜓數(shù)據(jù)造假門(mén)事件。隨著后來(lái)發(fā)酵，知乎上的水軍、各種新聞稿的發(fā)酵、這是喜馬拉雅一場(chǎng)有預(yù)謀的“包裝曝光”。最后整的連王思聰都關(guān)注到了。喜馬拉雅在以行業(yè)陽(yáng)光衛(wèi)士的身份自詡之時(shí)，不料在喜馬拉雅后院起火了，其后臺(tái)瘋狂刷廣告單的秘密操作行為，同樣也被知乎網(wǎng)友爆出了 。

昨日還在義正言辭曝光行業(yè)內(nèi)部不正當(dāng)行為的喜馬拉雅居然也藏著巨大的貓膩。今日有知友在知乎中“最近撕得火熱的喜馬拉雅FM真的很純粹嗎?”問(wèn)題中發(fā)出了圖文詳細(xì)版的抓包喜馬拉雅,瘋狂刷廣告刷量的全過(guò)程，要知道這個(gè)雙十一電商打的火熱之時(shí)，連蘇寧易購(gòu)都躺著中槍了。

從知乎網(wǎng)友這個(gè)帖子看，不難發(fā)現(xiàn)雖然喜馬拉雅做了代碼混淆，但進(jìn)行惡意刷廣告數(shù)據(jù)的事實(shí)恐怕是連國(guó)民老公也難拯救！下面為大家貼出大神抓包喜馬拉雅安卓端的詳細(xì)情況：

———————————華麗麗分割線———————————

樓上發(fā)的喜馬拉雅抓包分析啟發(fā)了我，我反編譯了一下喜馬拉雅app。從原來(lái)的抓包分析中看到帶有ad.ximalaya.com的鏈接，其中有個(gè)find_banner，它請(qǐng)求的內(nèi)容如下，里面包含doubleclick（這東西是廣告第三方監(jiān)測(cè)商）的鏈接。

在混淆的代碼中g(shù)rep一下find_banner，只出現(xiàn)了一個(gè)文件，RecommendCategoryFragmentNew。

看這個(gè)名字應(yīng)該是主頁(yè)的推薦首頁(yè)。根據(jù)之前抓包情況，在亮屏?xí)r能抓到doubleclick和miaozhen的包，那就肯定是在onResume里了。

RecommendCategoryFragmentNew.java中onResume():

這里每次onResume調(diào)用都會(huì)觸發(fā)statFocusAd，也就是說(shuō)，在APP每次啟動(dòng)、前后臺(tái)切換、解鎖時(shí)，都會(huì)啟動(dòng)廣告刷量！

再查看ThirdAdStatUtil.getInstance().statFocusAd(mFocusImages,true)：

看名字像是做廣告統(tǒng)計(jì)的，但是除了所謂的廣告統(tǒng)計(jì)，其實(shí)還會(huì)進(jìn)行廣告刷量。注意參數(shù)里的third_url就是find_banner里的thirdStatUrl，也就是用戶點(diǎn)擊的廣告地址。

以下是實(shí)際執(zhí)行的廣告刷量代碼：

這里的s正是這個(gè)focusimagemodelnew.third_url。這里代碼做了混淆，但是看到start方法像是開(kāi)個(gè)線程去做廣告刷量，果不其然：

這里混淆的比較難讀，但是刷量的邏輯很清晰的，關(guān)鍵代碼就在f.a().a(*)函數(shù)中，讓我們看看這個(gè)函數(shù)做了什么：

至此，廣告刷量的整個(gè)流水線都浮出水面了。

總結(jié)，在RecommendCategoryFragmentNew的每次onResume調(diào)用，都會(huì)向配置的third_url發(fā)送一次請(qǐng)求。而這個(gè)onResume是在什么時(shí)候調(diào)用呢？應(yīng)用啟動(dòng)時(shí)，切到后臺(tái)再切回來(lái)時(shí)，鎖屏再亮屏?xí)r，打開(kāi)其他應(yīng)用再回來(lái)時(shí)；而且由于這個(gè)fragment是放在viewpager里，那么切到別的tab再切回來(lái)時(shí)也會(huì)調(diào)用。所以這個(gè)third_url在應(yīng)用使用期間會(huì)被大量頻繁的訪問(wèn)，恐怕比真的展示多了不只幾倍的量。這也解釋印證了樓上童鞋提到的抓包分析里面的現(xiàn)象。

我們?cè)倩剡^(guò)頭看下哪些第三方廣告監(jiān)測(cè)平臺(tái)倒地中槍。

首頁(yè)廣告api：http://ad.ximalaya.com/ting?name=find_banner&version=4.3.26.2&device=android&operator=3&network=WIFI

測(cè)試時(shí)請(qǐng)求到的數(shù)據(jù)截圖如下是配置的doubleclick

內(nèi)容分類中的廣告http://mobile.ximalaya.com/mobile/discovery/v1/recommends?channel=and-wap&device=android&includeActivity=true&includeSpecial=true&scale=2&version=4.3.26.2

配置的是秒針的刷量鏈接.

是否有其他刷量的地方，我沒(méi)有深挖，因?yàn)榛煜^(guò)再反編譯的代碼閱讀起來(lái)實(shí)在是不怎么順暢。但這段廣告刷量的邏輯放在onResume里就足以說(shuō)明一切。

作為一個(gè)資深碼農(nóng)，不得不說(shuō)，喜馬拉雅在刷量這件事上確實(shí)動(dòng)了腦筋。一是代碼混淆，隱藏的很深；二是動(dòng)態(tài)下發(fā)刷量鏈接，方案可擴(kuò)展性極強(qiáng)。利用這種原理，除了刷廣告監(jiān)測(cè)，其他http類的請(qǐng)求都可以動(dòng)態(tài)生成訪問(wèn)，想象空間還是很大的，有興趣的同學(xué)可以繼續(xù)研究，（提示一下，啟動(dòng)的時(shí)候可以下載其他APP哦，看看有沒(méi)有同學(xué)能分析出來(lái)）。

最后附上反編譯的source code：

https://github.com/lovetesting/ximalaya_decode

——————————— 跳回來(lái) ———————————

以上就是大神抓包喜馬拉雅詳細(xì)過(guò)程。

其實(shí)從上周六開(kāi)始，知乎上一位知友發(fā)起的大致名為“蜻蜓FM偽造數(shù)據(jù)刷日活”的帖子，在各方水軍的公關(guān)下已經(jīng)引發(fā)了不少或碼農(nóng)或營(yíng)銷網(wǎng)友熱議。

這兩天，微博、微信公號(hào)以及新聞稿等多方渠道中的種種發(fā)酵顯露無(wú)疑，這已經(jīng)不是音頻行業(yè)內(nèi)領(lǐng)軍者和老大哥的小打小鬧了。

細(xì)細(xì)想來(lái)，喜馬拉雅從今年四月以來(lái)就一直負(fù)面新聞不斷，且件件鐵證如山。

從今年4月底以來(lái)，喜馬拉雅FM就曾因ASO刷榜行為被媒體曝光，被蘋(píng)果商店連續(xù)下架兩次；

7月，喜馬拉雅FM因刷量被華為開(kāi)發(fā)者聯(lián)盟拉黑三個(gè)月；

10月中旬，喜馬拉雅FM又開(kāi)始重操舊業(yè)，為最近一次私募股權(quán)的融資事件刷量做準(zhǔn)備，這些也都是有數(shù)據(jù)為證的！

圖：造第一，喜馬拉雅9月—11月瘋狂開(kāi)啟刷數(shù)據(jù)

圖：喜馬拉雅FM非法刷量渠道曝光 遭平臺(tái)警告

這種將投資人和廣告主當(dāng)傻子的行為，最終一定是會(huì)狗帶的......

這難免令人聯(lián)想到前不久多家媒體相繼報(bào)道過(guò)的喜馬拉雅FM負(fù)債、融資難等資金危機(jī)以及被廣電總局“點(diǎn)名”的新聞，這樣看來(lái)似乎也能解釋的通，為何在輿論這樣的風(fēng)口浪尖下喜馬拉雅如破釜沉舟般，敢于站出來(lái)揭露音頻行業(yè)內(nèi)不規(guī)范的、破壞行業(yè)規(guī)則的行為。

其實(shí)喜馬拉雅本來(lái)是可以在“行業(yè)清道夫”的光環(huán)下，在國(guó)民老公的助力下，得到大眾好感（畢竟大家都愛(ài)見(jiàn)義勇為者），甚至于是投資人和廣告主垂愛(ài)，奈何喜馬拉雅將用戶當(dāng)傻子，說(shuō)句難聽(tīng)的這種賊喊捉賊，偷雞不成蝕把米的行為真真是更加令人厭惡。

最后，有需要的朋友可以去“清道夫”官網(wǎng)下載安卓版代碼測(cè)試，不過(guò)速度要快，開(kāi)關(guān)應(yīng)該很快就會(huì)被關(guān)掉。

作者：劉曠，以禪道參悟互聯(lián)網(wǎng)、微信公眾號(hào)：liukuang110