hagezi DNS 拦截列表对FaceApp服务域名的误拦截分析

在移动应用生态中，域名拦截列表作为网络安全的重要防线，偶尔会出现误判情况。近期hagezi项目的DNS拦截列表（Most Abused TLDs列表）对FaceApp应用的核心服务域名faceapp.photo进行了拦截，导致Android用户无法正常使用该应用的全部功能。

事件背景

FaceApp是一款流行的AI照片处理应用，其服务架构采用.photo顶级域（TLD）作为业务域名后缀。2025年4月，用户反馈当启用hagezi的"Most Abused TLDs"拦截列表时，应用内所有网络功能均失效。技术验证确认：

1. 禁用该拦截列表后功能恢复
2. 应用请求的faceapp.photo域名确实被列入拦截范围
3. 拦截表现为DNS层面的NXDOMAIN或REFUSED响应

技术分析

.photo作为新兴的通用顶级域(gTLD)，其滥用风险评级存在争议。hagezi列表原本基于该域名的历史滥用记录将其纳入拦截范围，但实际场景中：

• FaceApp采用行业常规做法，使用语义化TLD构建业务体系
• 该域名未涉及实际滥用行为
• 拦截导致应用API、资源加载等核心功能中断

解决方案

项目维护团队在收到完整的技术报告后：

1. 确认该域名为应用必需的基础设施域名
2. 验证不存在安全风险
3. 在版本32025.111.56675中移除了对该域名的拦截

行业启示

此事件反映了TLD拦截策略面临的挑战：

1. 语义化TLD的普及使得单纯基于后缀的拦截策略容易误伤
2. 移动应用对特定域名的强依赖性需要更精细化的拦截规则
3. 安全与可用性的平衡需要持续优化

建议企业用户在使用拦截列表时：

• 建立完善的误报反馈机制
• 对业务关键应用进行拦截测试
• 考虑采用分层拦截策略，区分核心业务域与第三方域

该案例也展示了开源安全项目的响应能力，从问题报告到修复发布仅经历标准迭代周期，体现了社区协作的安全维护模式优势。