Warum Malvertiser Sie über dieselbe Technologie erreichen, die Sie für Audio- / Video-Chats verwenden
Eine der großen Herausforderungen bei der Sicherheit digitaler Werbung ist die Tatsache, dass die schlechten Akteure immer in Führung liegen. Wann immer die seriöse Werbeindustrie sich an die Arbeit macht, um eine Sicherheitsbedrohung auszumerzen, finden Malvertiser einen anderen Einstiegspunkt, um ihre finsteren Waren einzusetzen.
In den letzten Jahren hat die Branche automatische Umleitungen im Visier gehabt, die Sitzungen des Anwenders abrupt beenden, betroffene Publisher daran hindern, diese Sitzung zu monetarisieren, und möglicherweise das Vertrauen des Anwenders in die Website des Publishers beschädigen. Der Kampf gegen Umleitungen dauert an und wird jetzt durch einen neuen Angriffsvektor erschwert – Schwachstellen im häufig verwendeten Web-WebRTC-Protokoll. Diese Schwachstellen sind nun für ein Viertel aller identifizierten Umleitungen verantwortlich.
WebRTC ist ein Framework, das Audio- und Videoanrufe sowie Chats über unterschiedliche Webbrowser und mobile Apps,
einschließlich VoIP-Technologie (d.h. Web-Telefone), erleichtert. Es wird von einer großen Anzahl von großen digitalen Unternehmen
verwendet – Google, Apple, Microsoft, Mozilla, Opera. Schon 2015 berichteten Pressekanäle, dass WebRTC eine Sicherheitslücke
aufwies, die echte IP-Adressen der Anwender offenlegen könnte. Damals wurde dies als Risiko für Anwender behandelt, die anonym
surfen wollten. Jetzt haben sich Malvertiser ins Spiel eingeklinkt und nutzen denselben Einstiegspunkt, um Umleitungen auf Benutzer
loszulassen.
Diese Flut von Umleitungsangriffen ist besonders unheilvoll, da sie den Vorteil von WebRTC nutzen, einem verteilten Peer-to-Peer-
Dienst. Blacklisting funktioniert hier nicht als Sicherheitsmethode, da es tatsächlich keinen Server oder keine Domain gibt, die man
auf die schwarze Liste setzen könnte. Der Verursacher des Angriffs sendet die Umleitungsanfrage an einen STUN-Server, der selbst
nicht blockiert werden kann, da er von seriösen Unternehmen (Google, Microsoft usw.) verwendet wird, um legitime Skripte
auszuführen. Falls Sie diese Angriffe blockieren würden, würden Sie alle Daten von wichtigen Cloud-basierten Diensten blockieren.
Die Strategie der Betrüger wird von da an hinterhältiger. WebRTC ermöglicht es schlechten Akteuren zu erkennen, ob der Anwender
bereits eine öffentliche IP-Adresse hat oder sich für ihren Angriff außerhalb des Zielbereichs befindet. Sie können sogar erkennen, ob
es sich bei dem „Anwender“ wahrscheinlich um eine reale Person oder nur um einen Emulator handelt, der als
Sicherheitsmaßnahme eingerichtet wurde. Wenn der Anwender keine reale Person innerhalb des gewünschten Bereichs zu sein
scheint, wird ihm einfach eine seriöse Werbung von einer programmatischen Werbeplattform eines Drittanbieters gezeigt. Wenn sie
die „Erkennung bestehen“, wird ihnen ein Umleitungscode serviert. Und jetzt hat der Täter auch ihre VPN-, IP- und lokalen
Netzwerkadressen protokolliert.
Kurz gesagt, das Blockieren einer einzigen Entität, die diese Umleitungen auf den Weg bringt, ist nahezu unmöglich. Ihr Code ist so
geschrieben, dass er an mehreren möglichen Sicherheitspunkten ausweicht, indem er Kanäle verwendet, die aufgrund ihrer
Dezentralität ohnehin nur schwer zu zügeln sind. Bei der Untersuchung dieses Problems stellte GeoEdge fest, dass einige dieser
schlechten Akteure sich der Entdeckung entziehen werden, auch wenn dies bedeutet, dass sie Einnahmen auf dem Tisch
zurücklassen, die sie möglicherweise kapern könnten
Technisch gesehen könnte sich jede Form von Malvertising durch WebRTC einschleichen, aber bisher wurden die von GeoEdge
identifizierten Angriffe umgeleitet. Die schlechten Akteure nutzen Schwachstellen im programmatischen Marktplatz aus,
insbesondere Header-Gebote, die bei 87 % der Umleitungen über WebRTC ausgenutzt wurde Alles in allem hat die Untersuchung
von GeoEdge gezeigt, dass Umleitungen die digitale Werbebranche jährlich 325 Millionen Dollar kosten, und 24 % dieser
Umleitungsangriffe nutzen das WebRTC-Schlupfloch aus.
GeoEdge untersuchte, wie diese Malvertiser mit Reverse-Engineering-Skripten arbeiten, den schädlichen Code entdecken, und ihn
zum Starten von Testangriffen verwenden. Von diesem Zeitpunkt an konnten Forscher untersuchen, wie Angriffe über WebRTC
geblockt werden können, ohne gleichzeitig die Funktionalität von WebRTC zu beeinträchtigen. Sie fanden heraus, dass
Werbeblocker eine mögliche Methode waren. Allerdings kann die Technologie zum Blockieren von Werbung manchmal verhindern,
dass WebRTC richtig funktioniert.
Eine effektivere Strategie, die bereits zum Industriestandard wird, besteht darin, den Code zu analysieren, zu erkennen, wenn ein
unbekanntes Skript ähnliche Eigenschaften oder Verhaltensweisen wie eine bekannte Bedrohung aufweist, und den Problemcode zu
blockieren, bevor er die Seite des Publishers erreicht. Dieser Echtzeit-Ansatz wurde von einer wachsenden Anzahl von Publishern im
Kampf gegen Umleitungen von anderen Vektoren angenommen. Es hat sich beim Schutz des WebRTC-Einstiegspunkts als ähnlich
wirksam erwiesen, ohne die Fähigkeit des Anwenders zu behindern, über verschiedene Browser und Geräte mit anderen zu
kommunizieren.
Der Kampf gegen böswillige und qualitativ minderwertige Werbung wird immer wieder neue Wege zu neuen Fronten finden.
Während dies geschieht müssen alle seriösen digitalen Unternehmen, einschließlich der Anbieter von Werbesicherheit, diese
Fronten finden und sich engagieren. Wenn es den schlechten Akteuren gelingt, sich den Sicherheitsmethoden zu entziehen, auf die
sich die Branche in der Vergangenheit verlassen hat, ist es an der Zeit, neue Technologien zu entwickeln. Wir wissen vielleicht nicht,
mit welchen Risiken wir in Zukunft konfrontiert sein werden, aber für den Moment besteht die beste Vorgehensweise der Branche
beim Tischeinsatz im digitalen Sicherheitsspiel darin, Risiken in Echtzeit zu erkennen und zu blockieren.
Um mehr zu erfahren, laden Sie das GeoEdge Whitepaper „WebRTC Malvertising: fighting a new form of obfuscated attacks“ (WebRTC Malvertising: Bekämpfung einer neuen Form des verschleierten Angriffs) herunter [-erstmals veröffentlicht auf der DCN-Website „Research / Insights on current and emerging industry topics“ (Forschung / Einblicke in aktuelle und aufkommende Branchenthemen), April 2019]
