RELATEED CONSULTING
免费使用
下列产品全部免费使用
服务时间:9:30-18:00
你可能遇到了下面的问题
关闭右侧工具栏
自吹自擂的恶意攻击感染了超过10亿个广告
  • 发表时间:2020-08-23 22:02
  • 来源:数度域

据追踪这一威胁约一年的confiant称,8月1日至9月23日期间,两次恶意攻击影响了11.6亿条程序广告。

ios上chrome 75之前的首个chrome目标版本。这个缺陷在6月4日chrome 75发布会上被修复。

第二个漏洞影响了基于webkit的浏览器。confiant于8月7日向chrome和苹果安全团队报告了此事。chrome团队发布了一个补丁。9.苹果在9月19日的ios 13和9月24日的safari 13.0.1中解决了这个问题。

一般来说,恶意广告包括使用在线广告传播各种恶意软件。程序化广告是那些通过软件而不是人类互动的自动化过程买卖的广告。

cto杰罗姆顾丹说:“confiant自成立以来,一直致力于检测和阻止恶意软件。”

他告诉technewsworld,该公司每月监控超过500亿次广告浏览量。这种规模可以让it“实时对每个广告进行安全评估,并在此基础上构建属性和威胁情报。”

吹毛求疵者是如何工作的

confiant的高级安全工程师eliya stein说: egobbler旨在绕过阻止用户以外的人发起强有力重定向的浏览器功能。

跨来源iframes从不同于父页面的域加载资源,通常用于强制重定向尝试。

stein告诉technewsworld:“在最基本的形式中,恶意广告会尝试像这样重定向父页面:top . window . location = " http://virtual _ landing _ page "。

stein说,浏览器安全机制通常防止这种情况发生,并通过沙盒属性得到增强。然而,如果用户按下键盘上的任何键,egobbler会绕过这些机制,并使强制重定向能够通过。

stein观察到:“如果在提供广告的iframe中缺少沙箱属性,像这样强有力的重定向在非易受攻击的浏览器上就足够成功了。”“这仍然很常见。”

当用户点击父页面时会产生一个弹出窗口,即使沙箱参数存在,confiant也能找到。

吹毛求疵的黑客经常使用内容传递网络(cdn)来传递有效载荷。如果可以的话,他们会利用那些看起来无害或者包含熟悉品牌的子域。

谁被击中了

stein指出, egobbler的目标是目前使用的大多数流行浏览器,而不是关注任何一个易受攻击的浏览器。

confiant发现,ios上的chrome浏览器受到了影响,而其他移动和桌面浏览器成功阻止了弹出窗口。

据confiant称,6月中旬之后,黑客显然将目标锁定在了台式机而非移动设备上,近78%的目标是windows设备。mac os x设备仅占14 %, IOs设备约占1%。

chrome上的广告占受影响广告的82 %;火狐上的占10 %;边缘广告3.4%;歌剧广告占2.2%。

显然,用于第二次攻击的技术不太可能在移动浏览过程中有机滋生。

据一些业内人士估计,这将是第一个手机购物超过传统笔记本电脑和网络浏览器的购物季。

她告诉technewsworld:“因此,在某些方面,那些业务来自移动用户的公司可以少担心一点。”

吹毛求疵者的影响

emarketer预测,美国的程序性展示广告支出今年将增长近21%,达到594.5亿美元。

decarlis指出,egobbler的影响将取决于广告商的预算中有多少是花在程序广告上的。

她说,这次开发将导致两种结果。“首先,广告商将评估由他们的规划工作所驱动的结果,如果这一结果有所下降,他们很可能会减少在这方面的投资,转而选择其他广告和市场渠道。”

“第二,”decarlis继续说,“广告客户可能会开始调查解决方案,通过与他们的it和安全部门合作找到一个解决方案来帮助解决广告宣传不佳的问题。”

明显存在的危险

虽然egobbler目前的关注点似乎是桌面,但decarlis警告称:“威胁行动者很聪明,他们很可能会将工作重心转移到移动用户身上,尤其是如果移动用户有钱的话。”

confiant的stein指出:“利己主义者经常大规模地进行这样的活动,不管他们是否有这样一个方便的漏洞。”吹毛求疵的黑客“相当顽固,所以我们怀疑他们会重复他们的策略,因为这些漏洞的补丁已经到位。”

如何防范吹毛求疵者

stein说,[/h/在线填写表格时,他们还应该注意网络钓鱼页面。

decarlis建议,广告商必须与他们的it和网络安全部门合作,调查恶意软件防护解决方案。

她说,消费者应该向网站所有者报告他们遇到的任何奇怪行为。“网站所有者或广告商知道发生了什么的唯一方法是当网络访问者报告事件时。”

自吹自擂的恶意攻击感染了超过10亿个广告 相关的文章:

  • 营销公司zeta global以1 . 4亿美元的资金周转
  • 移动欺诈风险的严峻上升轨迹
  • 人工智能仍处于形成阶段
  • 约翰·奥利弗的观众用网络中立问题淹没了fcc网站
  • 亚马逊为回声报的报道增加了节目
  • veeva提供跨堆栈的客户洞察力