搜狗输入法云控下发模块，“暗中”篡改浏览器配置

火绒威胁情报中心近期监测到一款专门锁定浏览器主页的应用正加速蔓延。经溯源，该源头指向搜狗输入法。据悉，搜狗输入法通过 Shiply 终端基础发布通用模块，向云端请求控制配置。

在下发这些云控配置中，会结合用户画像：例如所在地区、时间等诸多维度进行精准推送。由于 Shiply 平台本身具备灰度发布能力，据此推测，攻击者很可能先通过小范围灰度测试验证效果，再进行大规模传播。

其推广模块会首先检测用户设备上的杀毒软件，随后通过篡改配置文件的方式，强制修改 Edge 与 Chrome 两款主流浏览器的主页及默认搜索引擎设置。目前，火绒安全产品可对上述推广模块进行拦截与查杀。

建议：在使用过程中，若需关闭弹窗，可采用以下方法。这些方法大多源自网络上受弹窗困扰的用户。不过由于不同时期、不同用户画像等云控配置存在差异或其他因素，可能导致关闭弹窗的操作无法正常生效。

1. 可关闭全局系统通知开关。若不想全局关闭，可通过将注册表值 ShowInSettings 修改为 1，以显示搜狗输入法通知选项，随后进行关闭操作。

2. 若上述方法无效，可关闭设置中的《桌面右下角推荐》。若无法看到《桌面右下角推荐》，需先点击搜狗输入法的“帮助反馈”，找到“广告与搜索候选”，进入后查看关闭方法。之后，再次打开搜狗设置，点击“高级”，将页面拉至最下方，此时“桌面右下角推荐”的关闭选项才会出现。

更多技术分析细节，请阅读：https://zhuanlan.zhihu.com/p/1952446290664359825