拉斯维加斯——网站所有者和在网站上投放广告的广告商之间持续不断的冲突已经爆发为一场全面的战争,广告商和运营商被夹在了夹击之中。
以T-Mobile为例,它被Flash Networks自豪地命名为客户,该公司吹嘘说,当它“在选定的网页中插入最相关的参与度显示”时,就会为移动运营商创造“新的盈利机会”。
这似乎让T-Mobile感到意外。T-Mobile高级数字媒体经理辛西娅•李(Cynthia Lee)坚决否认T-Mobile使用Flash Networks向向移动客户提供的网页注入广告。
“这完全反对我们的战略,”她说。“消费者经历和客户隐私位于我们的名单之上,以及我们如何执行媒体的支柱。”
她说,T-Mobile确实以自动化的编程方式购买广告,并可能间接地在这个网络上挑选了广告。
“作为一家公司,我们正在努力改善这一点,”她说。“我们正在与业界合作。”
除了T-Mobile, Flash Networks还将Orange、沃达丰(Vodafone)、意大利电信(Tlecom Italia)、瑞士电信(swiscom)、奥地利电信(Telekom Austria)、TurkCell、nTelos Wireless和Bharti Airtel列为客户。
肯史密斯,Securestate的高级顾问
其中至少有一家公司是他的实际客户——一位印度博主发现他的互联网服务提供商Bharti Airtel在他的网站中插入了不必要的JavaScript。他在GitHub上发布了截屏,并收到了来自Flash Networks的勒令停止函。
巴蒂电信发布了一份声明,称他们与停止通知无关,并表示,注入的代码只是“为了帮助客户了解他们的数据使用量”。
他们没有解释为什么这需要在其他公司的网页中注入Javascript。
Flash Networks负责盈利的副总裁Ken Ruck同意接受采访,但随后取消了采访,该公司转而发送了一份罐头声明,称他们不会与媒体讨论客户问题。
该公司在声明中表示,Flash Networks Layer 8平台让运营商“获得了前所未有的盈利机会”。
“第8层解决方案不是恶意软件,而不是用于广告注射,”然后一位发言人表示,然后继续添加该公司的“注入代码......可用于提供铃声,电子书和本地优惠。”
根据Namogoo技术公司的一项最新调查显示,多达30%的网络用户在网站上看到了额外的广告,这些广告是由他们的移动运营商、互联网供应商、WiFi热点、恶意软件、工具栏和浏览器扩展所注入的。谷歌在2014年前9个月进行自己的分析时,这一比例为5%。
例如,在下面的截图中,Ad Options广告网络在公民银行网站的主页上插入了一个不需要的广告。
Namagoo
下面是另一个广告网络——OMG Music!——在安多弗银行(Andover Bank)的网站上插入了一则广告。讽刺的是,这是公民银行的广告。
Namagoo
根据Google最近的一份报告,单一注射的广告通常通过几种不同的广告网络汇集,因此广告商甚至不知道这发生了这种情况。
市民银行的情况也是如此。市民银行确认并不是故意购买广告,正在进行调查。
这些网络上的广告不仅具有侵入性,而且不受欢迎,而且由于网络管理不善,更有可能是恶意的,或成为点击欺诈的对象。
谷歌步骤
搜索引擎也是受害者。广告注射器将其广告放在搜索结果中,获取顶级展示位置,而无需支付搜索引擎的一毛钱。
但在搜索引擎方面,广告注入者可能走得太远了。找谷歌的麻烦可不是什么好主意。
三个月前,谷歌发布了一项研究结果,发现了超过50,000名浏览器扩展和34,000个浏览器和注入广告的软件应用程序。其中三分之一也借此机会窃取账户凭据,劫持搜索结果和间谍对用户的活动。
谷歌已经从Chrome网络商店中删除了192个欺骗性的Chrome扩展,并为浏览器添加了新的保护措施。它还开始在广告被注入时通知广告商,并更新其AdWords政策,以加大推广不受欢迎软件的难度。
广告注射器可以将其广告放在网页的中间,或者创建新的链接,在那里找到关键字,或者在空间中的任何地方都有空间,或替换现有的合法广告,或者在页面顶部替换的图层新广告阻止了视图合法内容。
基于浏览器的广告注入者获得了额外的奖励,他们甚至可以访问加密的网站,或通过vpn服务的页面。
在网络运营商的帮助和唆使下,注入通常只能访问未加密的网页的底层代码,尽管一些运营商已经知道会干扰加密,如火星机上无线上网今年早些时候被抓住了。
这怎么合法?
用户经常使用改变网站呈现方式的工具。他们可能希望对页面进行重新格式化,以便于打印,或将其翻译成外语。
用户可能会故意选择安装一个工具,例如,只要他们在一个主要的购物网站上就显示竞争对手的价格。
或者他们可能会意外地安装与他们实际想要的应用程序捆绑的工具 - 并同意条款和条件而不阅读它们。
安全供应商RiskIQ的首席执行官Elias Manousos说:“广告注入不是犯罪正如大家所知道的那样和其他基于网络的威胁。
他说,当广告注入器被恶意软件安装时,它就是非法的。否则,没有法律明文规定保护消费者。
他表示:“FTC执行了一些欺骗性的贸易行为,但力度相当弱。”如果某一特定的广告在某一特定的州是非法的,那就很难证明,因为很难抓到任何一个正在做的人。
广告网络在关系的拜占庭关系中互连,这使得难以找到广告从合法广告到注入的广告的确切点。
Manousos说:“广告生态系统对于谁是他们的客户,谁是他们的出版商是非常非常隐私的。”所以我们很容易忽视问题的来源,这让他们能够从不道德的安装中获利。”
他估计,全球注入的广告产业规模在10亿至40亿美元之间。
他说:“我们的方法是帮助客户找到坏人,并消除他们。”
根据谷歌的数据,77%的广告注入都是通过三个主要的中介渠道进行的,这三个中介将合法的广告网络与不那么体面的广告网络连接起来:DealTime, PriceGrabber和BizRate。
谷歌研究科学家库尔特•托马斯在最近一篇关于广告注入的研究论文中写道:“在广告注入流量进入广告生态系统之前,它们是唯一的关键瓶颈,与合法的消费者利益难以区分。”“我们已经开始接触这些主要的中间商以及受广告注入影响的品牌,提醒他们有可能收到广告注入流量。”
谷歌还将Sears,Walmart,Target和Ebay确定为其中一些由广告注射器受害的公司。具有讽刺意味的是,eBay也拥有交往。
截至截止日期,Ebay尚未回应置评请求。
你能做什么?
根据谷歌研究科学家库尔特·托马斯的说法,网站所有者可以用几种方式保护他们的网站。
“开发人员可以通过执行客户端测量来衡量自己的广告喷射水平,或者进一步逐步逐步,并防止或恢复广告喷射器产生的DOM修改,”他在最近的研究论文中写道。“同样重要的是,如果网站切换到HST,它将阻止网络提供商和仅限于客户端流量的网络提供商和只能拖动的HTTP二进制代理。”
[同样是关于cso:顶级色情网站的游客受到恶意攻击的影响]
基于浏览器的内容安全策略可以用来检测网页是否被修改,RiskIQ的Manousos说。
“但许多广告注入公司找到了绕过(内容安全政策)的办法,”他补充道。“就像任何事情一样,这是一个猫捉老鼠的游戏。”
与此同时,企业员工在使用公共网络时还要小心。
Manousos说:“你应该使用vpn,因为vpn将完全防止这种攻击。”“不管你连接的是哪个WiFi接入点,它都会创建一个安全的隧道。”
他说,RiskiQ提供了一种解决方案,可以帮助网站或企业网络检测AD注射是否正在进行。
注入式广告给企业带来了风险,因为攻击者可以购买高度定向的广告位,瞄准单个公司甚至单个员工,并劫持公司员工最有可能访问的网站。
不过,该公司目前并没有阻止注资,不过它正在考虑提供这种服务。
另一家可以帮助的公司是塑造安全性。
Shape Security的工作原理是不断重写网页的底层代码,使其成为难以攻击的移动目标,这不仅针对潜在的广告注入者,也针对其他自动攻击者。该公司称之为多态性。
公司副总裁Shuman Ghosemajumder说:“如果你能打破这种自动化,你就能让攻击网站的生态系统对攻击者来说变得更加困难。”
谷歌在浏览器扩展上崩溃是一个很好的开始,但Namagoo Technologies的Chemi Katz,Cofounder和Maldware表示,它没有解决所有客户端注入的广告和恶意软件的来源,该技术为企业提供服务,该服务能够保护所有不受欢迎的网站的企业变化。
“虽然谷歌意识到192年的独特签名,但我们知道超过25,000多个不同的签名,”他说。
KATZ表示,Namogoo处理基于浏览器和基于网络的注射。
Namogoo的Katz拒绝解释他公司的服务是如何运作的,只是说网站所有者只需要添加一行代码就可以受到保护。
“这项技术是页面的一部分,”他说。“它静默运行,识别任何异常并阻止它们。”
他说,它可以防止恶意软件、浏览器和工具栏以及互联网接入提供商的注射。
Namogoo首席运营官Ohad Greenshpan表示,这其中就包括Flash Networks的Layer8。“我们的技术为出版商服务,为他们提供他们想要的服务页面的技术。”
广告商也需要保护自己。尽管这些广告看起来很便宜,但名声不佳的网站最不可能防止点击欺诈,而且当广告被注入到那些显然不属于它们的网站,或过于侵入性的网站时,可能会损害它们的声誉。
RiskIQ的Manousos说:“如果你真的想要停止这个问题,你就必须停止资金流动。”
这篇题为“T-Mobile陷入了与Flash Networks的广告大战”的文章最初发表于CSO .