Skadliga tredjepartsannonsörer eller hackare utsätter webbanvändare för ett säkerhetshot genom att injicera skadlig JavaScript-kod för att fånga upp användarklick och lura dem att besöka otillförlitligt webbinnehåll. För att undersöka problemet med klickavlyssning, forskargruppen som leds av professor Wei Meng vid institutionen för datavetenskap och teknik, Ingengörsfacilitet, Chinese University of Hong Kong (CUHK) utvecklade ett webbläsarbaserat analysramverk-Observer, som kan upptäcka tre olika tekniker för att fånga webbanvändarklick.

Forskningsresultatet har publicerats i USENIX Security Symposium 2019 (USENIX Security '19), en av de bästa akademiska konferenserna inom datasäkerhet. Forskargruppen kommer att offentliggöra ramens källkod för att hjälpa webbläsare att upptäcka skadliga klickavlyssningar och varna användare om det skadliga beteendet för att skydda dem från att utsättas för skadligt innehåll.

Ett klick är det framträdande sättet som användare interagerar med innehåll på World Wide Web (WWW). Angripare syftar därför till att fånga upp äkta användarklick för att antingen starta annonsklickbedrägerier genom att tillverka annonsklickstrafik, eller för att skicka skadliga kommandon till en annan webbplats på användarens vägnar (t.ex. för att tvinga användaren att ladda ner skadlig programvara). Tidigare undersökningar betraktade huvudsakligen en typ av klickavlyssningar i gränsöverskridande inställningar via iframes, d.v.s. clickjacking, som vanligtvis lanseras av skadliga förstapartswebbplatser. Detta representerar inte fullständigt olika klickavlyssningar som kan startas med tredjeparts JavaScript-kod.

För att åtgärda detta forskningsgap, Professor Wei Meng och hans doktorand student Mingxue Zhang vid Institutionen för datavetenskap och teknik utvecklade ett analysramverk - Observer baserad på webbläsaren Google Chromium, att systematiskt registrera och analysera olika klickavlyssningar på webben. Med Observer, de analyserade Alexa topp 250K webbplatser, och upptäckte 437 skript från tredje part som avlyssnar användarklick på 613 populära webbplatser, som totalt får cirka 43 miljoner besök dagligen. Särskilt, fast klickavlyssning, dessa skript kan lura användare att besöka 3, 251 otillförlitliga unika enhetliga resurssökare (URL:er) som kontrolleras av tredje part. Över 36% av dem var relaterade till onlineannonsering. Ytterligare, några klickavlyssningsadresser ledde användare till skadligt innehåll, till exempel bedrägerier. Detta visar att klickavlyssning har blivit ett hot mot webbanvändare.

Forskningen identifierade tre kategorier av klickavlyssningstekniker:(1) modifiering av måladressen för hyperlänkar för att leda användare till skadliga webbplatser vid klick; (2) lägga till klickhändelse lyssnare för att manipulera användarklick; (3) visuellt bedrägeri, till exempel, genom att skapa webbinnehåll som visuellt liknar första parts innehåll, eller visa transparenta element ovanpå webbsidan. Den förstnämnda kommer att lura användare att klicka på elementet från tredje part, och det senare gör det möjligt för de transparenta elementen att fånga alla användarklick på första parts innehåll. Följaktligen, användarna kan ledas till en sida som kontrolleras av angriparna.

Det erkänns att det är svårt att registrera och analysera webbbeteende som orsakas av tredjeparts JavaScript-kod. Observatörer upptäcker tredjeparts klickavlyssningar genom att utöka webbläsaren för att samla beteendet vid körning och noggrant analysera det klickrelaterade beteendet. Systemet är av stor betydelse för att skydda webbanvändare från sådana säkerhetshot. Professor Wei Meng tror att den främsta orsaken till klickavlyssning kan vara missbruk av privilegier från tredje parts webbutvecklare, som fångar upp användarklick för intäktsgenerering genom att begå bedrägeri med annonsklick. Han sa, "Vi kommer att göra vår implementering tillgänglig för allmänheten. Webbläsarleverantörerna kan designa försvarsmekanismer mot klickavlyssning i enlighet därmed. de kan visa säkerhetsvarningar för användare för att hindra dem från att komma åt potentiellt skadliga webbsidor. Detta kan hjälpa till att bygga ett säkrare webbekosystem. "