不良第三方廣告商或駭客在網頁中加入惡意JavaScript代碼來攔截瀏覽者點擊,欺騙他們訪問不受信任的網頁,令網絡用戶安全受到威脅。為了偵測此點擊攔截行為,香港中文大學(中大)工程學院計算機科學與工程學系孟瑋教授及其團隊,研發出瀏覽器分析系統Observer(觀察者),可檢測三種用於攔截網絡用戶點擊的不同技術。研究成果已於國際頂尖的計算機安全學術會議USENIX Security Symposium 2019(USENIX Security ’19)發表。團隊將公開Observer系統源代碼,協助網絡用戶檢測惡意的點擊攔截,並就此惡意行為發出警告,保障他們免遭惡意網站的影響。

點擊是用戶與萬維網(World Wide Web, WWW)上內容進行互動的主要方式。因此,攻擊者攔截真實的用戶點擊,製造廣告點擊流量以進行廣告點擊欺詐,或以用戶的身分向其他網站發送惡意指令,例如迫使用戶下載病毒程式。以往的研究主要針對其中一種在跨域設定中通過iframe進行的點擊攔截,稱為點擊劫持(clickjacking),通常是由惡意的第一方網站發起。但這類研究未能應對可由第三方JavaScript代碼發動的各種點擊攔截。

孟瑋教授

針對此未有進行任何研究的領域,中大工程學院計算機科學與工程學系孟瑋教授及其博士研究生張明雪開發了建基於Google開源瀏覽器的分析系統Observer,有系統地記錄及分析萬維網上各類點擊攔截行為。他們利用Observer分析了Alexa(全球網站排名計算系統)首25萬個網站,在其中613個受歡迎網站(每日總瀏覽量約4,300萬人次)上發現有437個第三方代碼在攔截用戶點擊。這些代碼通過攔截用戶點擊可誘騙用戶訪問3,251個被第三方操控的不受信任的網址,其中逾36%與在線廣告有關,另有部分點擊攔截網址會將用戶引向惡意內容如詐騙軟件,說明點擊攔截已成為網絡用戶的新興威脅。

該研究確認了點擊攔截技術的三大類型:(1) 更改超連結的目標網址,當用戶點擊時將其引導至惡意網站;(2) 通過新增監聽事件(Event Listener)來欺騙用戶點擊。(3) 視覺矇騙,例如模仿第一方網站內容製作網頁,欺騙用戶點擊由第三方杜撰的元素,或以透明介面覆蓋整個版面,攔截用戶對第一方內容的所有點擊,將用戶帶到由攻擊者控制的網頁。

眾所周知,由第三方JavaScript代碼啟動的網頁行為是很難用作記錄和分析的。Observer系統通過擴展瀏覽器以收集運行時的行為,針對點擊相關的行為作徹底分析,以此來檢測第三方的點擊攔截行為。該系統可保障用戶免受這些惡意攻擊威脅,具有重大的意義。孟教授推斷,點擊攔截或源於第三方網頁開發人員濫用權限,藉攔截用戶點擊來進行廣告點擊率欺詐以圖利。他說:「我們將公開此系統的源代碼,讓瀏覽器開發者可以依此設計防禦機制對抗點擊攔截,例如,他們可向用戶發出安全警告,阻止他們訪問有潛在惡意的網頁,這可幫助建立更安全的網絡生態環境。」