新发现的漏洞利用应导致暂停阻止Adblocker和AdChoices重新配置
在今年的拉斯维加斯BLACK HAT会议上,比利时研究人员Mathy Vanhoef和Tom Van Goethem展示了一种新发现的技术,其中第三方加载的JavaScript能够规避HTTPS的加密并从其加载的页面捕获数据。 我们现在生活在一个世界中,以编程方式投放广告的访问网站可能会使您的数据面临风险。 如果默认情况下您未使用跟踪保护或允许第三方Cookie,则可能在不知不觉中加载被此攻击设计的恶意软件破坏的页面。
许多网站,例如NYTimes.com,都会在每个页面的标题中加载您的电子邮件地址作为您的登录名。 其他类型的网站上的其他页面可能会要求您提供社会安全号码的后四位,以用于帐户管理。 身份窃贼仅用这两个详细信息就可以使许多其他帐户渗透。 社交媒体帐户也容易受到黑客攻击,因为令牌ID容易受到攻击,因为我们的社交媒体登录信息随处可见,位于每个页面上无处不在(且无用)的共享按钮中。 研究人员对HEIST攻击可用于收集健康信息以在灰色和黑色数据经纪市场上出售表示担忧。
研究人员预测,这种技术将很快成为“破坏帐户的最简单方法”。
使我们脆弱的行业
要经受攻击,您只需要倒霉就可以被投放到包含新HEIST攻击和其他技术(如隐形恶意软件)的恶意广告。 由于此技术无所适从,因此未使用任何跟踪保护或广告拦截器或启用了第三方Cookie(默认设置)的人们很容易受到攻击。
对于数字发布者而言,这是一个巨大的问题,因为他们依赖广告技术行业提供的收入,但不幸的是,恶意软件的祸害尚未解决。 广告销售基础架构中存在许多薄弱环节,难以破解,尤其是当广告销售供应链中的人们有动力寻找另一种方式并卖给不道德甚至犯罪的买家时,社会工程尤其容易被黑客入侵。 广告欺诈的巨大问题表明,为了使人们免受这种新升级的威胁模型的攻击,必须进行多么严重的改革。 如果他们努力将犯罪欺诈者拒之门外,他们如何证明它没有恶意软件?
为了使情况变得更糟,广告技术行业的退出程序(称为AdChoices)要求启用第三方Cookie。 尝试做正确的事情并使用行业“选择”机制的人只能确保他们容易受到这种新攻击的攻击。
相比之下,安装跟踪保护或adblocker工具的人可以免受这种威胁。 但是,业界已敦促发布商检测跟踪保护和adblocker的存在,然后授权或恳求其读者禁用它们。 Adtech的贸易组织IAB将此策略称为DEAL,并将其称为对付广告拦截器最成功的策略。 当人们遵从时,他们容易受到HEIST攻击。 当他们在选择AdChoices的退出过程中徘徊时,他们通过启用第三方Cookie来确保漏洞。
现在做正确的事。
业界应暂停使用,要求用户禁用其跟踪保护或adblocker,直到设计和部署防御HEIST攻击的方法为止,大概是通过浏览器制造商和adtech公司之间的密切合作。 否则,这个行业不负责任地使人们处于危险之中。 研究人员Vanhoef和Van Goethem在他们的白皮书中指出,阻止第三方cookie是唯一已知的可靠防御措施。
发布和广告行业还应要求数字广告联盟重新设计工具或停用AdChoices程序,以使其不依赖第三方Cookie。 这包括参与该计划的Google和Facebook,它们现在正在传播此漏洞,该漏洞可能导致身份盗窃或更糟。 人们除了在自己的设备上安装防御性软件工具外别无选择。 苹果公司在iOS10中推出的新的限制广告跟踪模型是朝正确方向迈出的一步,因为它有助于解决使人们控制其设备上的退出跟踪标识符而不是在许多浏览器中设置为第三方Cookie的问题。
如果该行业愿意遵循“不追踪”标准(例如Medium,Twitter和Pinterest)而不是推动AdChoices,则HEIST漏洞和一系列困扰该摇摇欲坠的业务的其他问题将得到解决。 就是这样。
正如Facebook今天宣布的那样,它将绕开您的adblocker,现在是时候让他们考虑自己的责任了,以解决引起人们安装adblocker的动机,隐私,欺诈和安全问题。 Facebook资助的智囊机构“未来的隐私论坛”仍然赞同使用adblocker作为一种保护形式,以防止隐私入侵和恶意软件入侵。 但是,业内尚未有人正式承认HEIST漏洞,第三方Cookie和AdChoices程序之间的联系。 他们会吗?
