中大工程学院研发浏览器分析系统Observer 追踪恶意点击拦截 减轻网络安全威胁

06.11.2019  19:01


不良第三方广告商或骇客在网页中加入恶意JavaScript代码来拦截浏览者点击,欺骗他们访问不受信任的网页,令网络用户安全受到威胁。为了侦测此点击拦截行为,香港中文大学(中大)工程学院计算机科学与工程学系孟玮教授及其团队,研发出浏览器分析系统Observer(观察者),可检测三种用于拦截网络用户点击的不同技术。研究成果已于国际顶尖的计算机安全学术会议USENIX Security Symposium 2019(USENIX Security ’19)发表。团队将公开Observer系统源代码,协助网络用户检测恶意的点击拦截,并就此恶意行为发出警告,保障他们免遭恶意网站的影响。

点击是用户与万维网(World Wide Web, WWW)上内容进行互动的主要方式。因此,攻击者拦截真实的用户点击,制造广告点击流量以进行广告点击欺诈,或以用户的身分向其他网站发送恶意指令,例如迫使用户下载病毒程式。以往的研究主要针对其中一种在跨域设定中通过iframe进行的点击拦截,称为点击劫持(clickjacking),通常是由恶意的第一方网站发起。但这类研究未能应对可由第三方JavaScript代码发动的各种点击拦截。

针对此未有进行任何研究的领域,中大工程学院计算机科学与工程学系孟玮教授及其博士研究生张明雪开发了建基于Google开源浏览器的分析系统Observer,有系统地记录及分析万维网上各类点击拦截行为。他们利用Observer分析了Alexa(全球网站排名计算系统)首25万个网站,在其中613个受欢迎网站(每日总浏览量约4,300万人次)上发现有437个第三方代码在拦截用户点击。这些代码通过拦截用户点击可诱骗用户访问3,251个被第三方操控的不受信任的网址,其中逾36%与在线广告有关,另有部分点击拦截网址会将用户引向恶意内容如诈骗软件,说明点击拦截已成为网络用户的新兴威胁。

该研究确认了点击拦截技术的三大类型:(1) 更改超连结的目标网址,当用户点击时将其引导至恶意网站;(2) 通过新增监听事件(Event Listener)来欺骗用户点击。(3) 视觉蒙骗,例如模仿第一方网站内容制作网页,欺骗用户点击由第三方杜撰的元素,或以透明介面覆盖整个版面,拦截用户对第一方内容的所有点击,将用户带到由攻击者控制的网页。

众所周知,由第三方JavaScript代码启动的网页行为是很难用作记录和分析的。Observer系统通过扩展浏览器以收集运行时的行为,针对点击相关的行为作彻底分析,以此来检测第三方的点击拦截行为。该系统可保障用户免受这些恶意攻击威胁,具有重大的意义。孟教授推断,点击拦截或源于第三方网页开发人员滥用权限,藉拦截用户点击来进行广告点击率欺诈以图利。他说:「我们将公开此系统的源代码,让浏览器开发者可以依此设计防御机制对抗点击拦截,例如,他们可向用户发出安全警告,阻止他们访问有潜在恶意的网页,这可帮助建立更安全的网络生态环境。」

公开大学宣布取消毕业典礼
鉴于现时的社会状况及公共交通服务受影响,香港公开大学
中大宣布11月18日至11月20日关闭校内办公室和工作安排
由于校内发生的严重事件导致设施遭受毁坏,香港中文大学