AdGuard
專門開發廣告封鎖及隱私保護程式的AdGuard在本周踢爆,專門提供Chrome擴充程式的Chrome Web Store(CWS)充斥著廣告詐騙程式,而且就算使用者檢舉了這些程式,它們依舊完好的存在於CWS上,根據AdGuard的統計,至少有296個擴充程式會擅自在Google及Bing的搜尋結果中嵌入廣告,檯面上的用戶數總計超過8,000萬。
AdGuard將這些廣告詐騙程式分為3類,一就是會在Google及Bing的搜尋結果中嵌入廣告,涉及295款擴充程式,二則是採用cookie填充技術,嵌入廣告聯盟cookie以向廣告主詐騙的6款擴充程式,第三則是可疑的垃圾擴充程式,能夠隨時自遠端更新程式功能,而且不計其數。
AdGuard共同創辦人暨技術長Andrey Meshkov指出,其實他們在發現這些非法或危險的擴充程式之後,都會透過CWS的濫用回報機制向Google檢舉,但卻沒有看到Google的任何回應,也許當他們把問題公諸於世之後,Google便會採取行動。
在第一類的廣告詐騙程式中,最多的是桌布擴充程式,也有不少程式假冒為廣告封鎖程式,這些程式會追蹤瀏覽器的cookie,而且植入腳本程式來檢查使用者所處網頁,假設使用者正位於Google或Bing的搜尋結果頁面,該程式就會在這些頁面上載入廣告。
第二類的廣告詐騙程式則是利用cookie填充技倆,以詐騙廣告主的佣金。例如當使用者造訪Booking.com時,相關程式就會悄悄地設置廣告聯盟cookie,一旦使用者於Booking.com消費,擴充程式的開發者就能取得來自廣告主的佣金。AdGuard發現了6款相關程式,總用戶數超過150萬。
第三類則被AdGuard歸類為危險的垃圾程式,這些擴充程式尚未表現出任何的惡意或詐騙行為,但它們的名稱經常仿冒熱門程式,用戶數可能灌水,最重要是,這類的程式全數載入了Google Tag Manager。
Google Tag Manager是Google替網站或行動程式所設計的標籤管理系統,方便開發者更新用來分析與測量的「標籤」程式碼及配置,該功能也意味著開發者任何時候都可以上傳新的程式碼到該擴充程式,而不必透過CWS的程式更新機制。
Meshkov說,有不計其數的Chrome擴充程式載入了Google Tag Manager,其中有些程式的下載數量超過100萬,甚至是500萬,但評價卻不到100個。Meshkov認為,不管是廣告詐騙程式或是可疑的程式,其下載數量很有可能是透過機器人灌水的,目的在於吸引其他真正的使用者下載。
由於AdGuard陸續檢舉了不同的擴充程式,但CWS卻無所作為,而讓使用者持續存取及下載這些惡意的程式,才使得AdGuard決定公開研究內容。在AdGuard的分析在媒體上曝光之後,Google已經採取行動掃盪AdGuard所列出的名單。
Meshkov建議CWS短期內,可設置一個真正有效力的惡意擴充程式檢舉機制,來改善不良擴充程式充斥的現狀,長期或者可以把擴充程式審核機制變更為開發者審核機制,以剔除素行不良的開發者。另也建議Chrome用戶只安裝必要的擴充程式、選擇可靠的擴充程式開發者、不要相信擴充程式的所有描述、閱讀其他使用者的評論,而且最好不要信任CWS的內部搜尋機制,而是自可靠的開發者網站直接下載擴充程式。
熱門新聞
2024-04-17
2024-04-17
2024-04-15
2024-04-15
2024-04-15
2024-04-15