Ingeniør udvikler browserbaseret analyserammeobservator

Ondsindede tredjepartsannoncører eller hackere udsætter webbrugere for en sikkerhedstrussel ved at injicere ondsindet JavaScript-kode for at opsnappe brugerklik og narre dem til at besøge webindhold, der ikke er tillid til. For at undersøge problemet med klikaflytning, forskerholdet ledet af professor Wei Meng fra Institut for Datalogi og Teknik, Ingeniør Fakultet, Det kinesiske universitet i Hong Kong (CUHK) udviklede en browserbaseret analyseramme – Observer, som er i stand til at opdage tre forskellige teknikker til at opsnappe webbrugerklik.

Forskningsresultatet er blevet offentliggjort i USENIX Security Symposium 2019 (USENIX Security '19), en af ​​de bedste akademiske konferencer inden for computersikkerhed. Forskerteamet vil offentliggøre kildekoden til rammen offentligt for at hjælpe webbrowsere med at opdage ondsindede klikafbrydelser og advare brugerne om den ondsindede adfærd for at beskytte dem mod at blive udsat for ondsindet indhold.

Et klik er den fremtrædende måde, hvorpå brugere interagerer med indhold på World Wide Web (WWW). Angribere sigter derfor mod at opsnappe ægte brugerklik for enten at lancere svindel med annonceklik ved at fremstille annoncekliktrafik, eller at sende ondsindede kommandoer til et andet websted på brugerens vegne (f.eks. for at tvinge brugeren til at downloade malware). Tidligere undersøgelser overvejede hovedsageligt én type klikaflytninger i indstillingerne for krydsoprindelse via iframes, dvs. clickjacking, som normalt lanceres af ondsindede førstepartswebsteder. Dette repræsenterer ikke udtømmende forskellige klikaflytninger, der kan startes af tredjeparts JavaScript-kode.

For at løse dette forskningsgab, Professor Wei Meng og hans ph.d. studerende Mingxue Zhang fra Institut for Computer Science and Engineering udviklede en analyseramme – Observatør baseret på Google Chromium-browseren, til systematisk at registrere og analysere forskellige klikaflytninger på nettet. Ved hjælp af Observer, de analyserede Alexa top 250K hjemmesider, og opdagede 437 tredjepartsscripts, der opsnapper brugerklik på 613 populære websteder, som i alt modtager omkring 43 millioner besøg på daglig basis. I særdeleshed, selvom klikaflytning, disse scripts kunne narre brugere til at besøge 3, 251 upålidelige unikke URL'er (Uniform Resource Locators) kontrolleret af tredjeparter. Over 36 % af dem var relateret til online annoncering. Yderligere, nogle webadresser til klikaflytning førte brugere til ondsindet indhold såsom scamwares. Dette viser, at klikaflytning er blevet en ny trussel mod webbrugere.

Undersøgelsen identificerede tre kategorier af klikaflytningsteknikker:(1) ændring af destinationswebadressen for hyperlinks for at føre brugere til ondsindede websteder ved klik; (2) tilføjelse af klikhændelseslyttere for at manipulere brugerklik; (3) visuelt bedrag, for eksempel, ved at skabe webindhold, der visuelt ligner førstepartsindhold, eller visning af gennemsigtige elementer oven på websiden. Førstnævnte vil narre brugere til at klikke på tredjepartselementet, og sidstnævnte gør det muligt for de transparente elementer at fange alle brugerens klik på førstepartsindholdet. Følgelig, brugerne kan ledes til en side, der kontrolleres af angriberne.

Det anerkendes, at webadfærd forårsaget af tredjeparts JavaScript-kode er vanskelig at registrere og analysere. Observatører registrerer tredjeparts klikaflytninger ved at udvide browseren til at indsamle adfærd under kørsel og grundigt analysere den klikrelaterede adfærd. Systemet er af stor betydning for at beskytte webbrugere mod sådanne sikkerhedstrusler. Professor Wei Meng mener, at grundårsagen til klikaflytning kan være privilegiemisbrug fra tredjeparts webudviklere, som opsnapper brugerklik for at tjene penge ved at begå svindel med annonceklik. Han sagde, "Vi vil gøre vores implementering offentligt tilgængelig. Browserleverandørerne kan designe forsvarsmekanismer mod klikaflytning i overensstemmelse hermed. F.eks. de kan vise sikkerhedsadvarsler til brugere for at forhindre dem i at få adgang til potentielt ondsindede websider. Dette kan hjælpe med at opbygge et mere sikkert web-økosystem."