HTML۵ بدافزارهای تبلیغاتی را متوقف نخواهد کرد بلکه تهدیدات جدیدی را موجب خواهد شد!

فلش یکی از نرم‌افزارهایی است که از آن سوءاستفاده زیادی صورت می‌گیرد. بررسی آسیب‌پذیری‌هایی که از سوی Flexera Software در سال ۲۰۱۶ صورت گرفته نشان‌دهنده‌ی ۴۶۷ آسیب‌پذیری در سال‎های ۲۰۱۴ و ۲۰۱۵ است (که بعد از کروم با ۵۱۶ آسیب‌پذیری در جایگاه دوم است).
اما فلش یک ابزار حمله‌ی مهاجمان است. برای مثال همچنان که اخیراً در اواخر ماه می ۲۰۱۶ Malwarebyte گزارشی را در مورد حملات تبلیغات بدافزاری نشان داده است، این حملات از فلش استفاده کرده و کاربران را به سمت کیت بهره‌بردار Angler تغییر مسیر می‌دهند.

چنین سوءاستفاده‌هایی در پشت حمله‌ی مرورگرهای کنونی علیه فلش است تا استفاده از فلش را در حین مرورگری توصیه نکنند. در ماه آوریل سال ۲۰۱۶، مایکروسافت اعلام کرد که محتوای فلشی که در خود صفحه‌ی اصلی اینترنت قرار نگیرد (مانند بازی‌ها) به‌صورت خودکار توسط ویندوز ۱۰ (در مرورگر Edge) متوقف خواهد شد. هدف از این کار پذیرش HTML۵ و تبلیغ آن برای محتوای متحرک است. در ماه می ۲۰۱۶، گوگل اعلام کرد که استفاده از فلش را توصیه نمی‌کند و HTML۵ را در تا پایان این سال برای کروم ارتقاء خواهد بخشید.
چنین اقداماتی به احتمال زیاد حرکت از فلش به سمت HTML۵ را برای نشان دادن تبلیغات اینترنتی سرعت خواهد بخشید. با این حال،‌ این کار تأثیر اندکی برای جلوگیری از بدافزارهای تبلیغاتی خواهد داشت.

یک گزارش اخیر از GeoEdge که یک شرکت نظارت تبلیغاتی است، ‌این دو گزینه را با هم مقایسه کرده است. این گزارش می‌گوید که در هر دو مورد مزایای و معایب فنی وجود دارد. برای مثال، فلش می‌تواند وضوح بهتری را با پشتیبانی از زیر پیکسل‌ها مهیا کند، ‌اما نمی‌تواند به‌صورت خودکار مانند HTML۵ با اندازه پنجره‌ی صفحه تطبیق پیدا کند. فلش نیاز به قدرت پردازش بیشتری دارد، اما HTML۵ اندازه‌ی پرونده بیشتری دارد (تقریباً ۱۰۰ کیلوبایت بیشتر).
از نظر شرایط امنیت کلی، آسیب‌پذیری‌های امنیتی جدید معمولاً در فلش کشف شده‌اند که در HTML۵ معمول نبوده‌اند. با این وجود، GeoEdge کاملاً روشن ساخته است که HTML۵ مانع از بدافزارهای تبلیغاتی نخواهد شد. این موضوع ارتباطی با خود HTML۵ ندارد، ‌بلکه به ماهیت خود تبلیغات مربوط است.

ریشه اصلی بدافزارهای تبلیغاتی به استانداردهای تبلیغات (VAST و VPAID) که در سال ۲۰۱۲ ایجاد شده‌اند، برمی‌گردد. همچنان که اداره تبلیغات اینترنتی در آن زمان نوشت «اهمیت کار در این است که تبلیغ‌کنندگانی که از تبلیغات VPAID استفاده می‌کنند، می‌توانند تجربیات آگهی غنی را برای بازدیدکنندگان ارائه کنند و به جمع‌آوری جزییات تعامل و بازخورد آگهی‌ها به همان نسبت غنای خود آگهی‌ها بپردازند».

توانایی تعامل میان کاربر و تبلیغات کننده، هم در فلش و هم در تبلیغات HTML۵ اعمال می‌شود. GeoEdge می‌نویسد: «از آنجایی که این استانداردها به تبلیغات کنندگان اجازه می‌دهند تا داده‌های مربوط به کاربران را جمع‌آوری کنند، به کدهایی که از سوی اشخاص ثالث نوشته شده‌اند اجازه می‌دهند تا در درون این تبلیغات قرار گیرند. هنگامی‌که یک کد ثالث اجازه داده شود، در را برای عوامل حمله برای نفوذ و فعالیت‌های مخرب از جمله قرار دادن کد آلوده، باز می‌کند».
از آنجایی که با توجه به این گزارش جاوا اسکریپت زبان پایه‌ی HTML۵‌است، کد آلوده می‌تواند بدون هیچ‌گونه مشکلی برای آن بسته‌بندی شود.

در چند روز گذشته، محققان زنجیره‌ای از باج‌افزارها را کشف کرده‌اند که RAA نام دارند و کاملاً در جاوا اسکریپت نوشته شده‌اند. به لحاظ نظری، حملات بدافزارهای تبلیغاتی قادر خواهند بود تا باج‌افزارها را از طریق HTML۵ مستقیماً وارد دستگاه کاربر کنند. سیمون کراسبی مدیرعامل Bromium نوشته است: «جاوا اسکریپت یک زبان برنامه‌نویسی همه منظوره است. هنگامی‌که یک نفوذگر متوجه شود که چگونه می‌تواند از آن برای نوشتن بدافزار رمزگذاری استفاده کند، سایر نفوذگران نیز می‌توانند به‌راحتی کد آن را بخوانند و از آن در موارد دیگر استفاده کنند؛ بنابراین من انتظار استفاده مجدد سریع و با اشکال متنوعی را از این حملات دارم».
تنها راهی که او برای جلوگیری از چنین نفوذهایی پیشنهاد می‌کند «این است که از فناوری منزوی کردن نقطه‌ی انتهایی همچون میکرو مجازی‌سازی استفاده شود که در آن سخت‌افزار هرکدام از زبان‌های مرورگر را از سامانه عامل جدا می‌کند، به‌طوری‌که بدافزار رمزگذاری شده نتواند بر نقطه‌ی انتهایی مؤثر باشد».

اما هیچ راه‌حل ساده‌ی ثالثی برای حل مشکل بدافزارهای تبلیغاتی وجود ندارد. تغییر در HTML۵ کمکی نمی‌کند و می‌تواند کار را بدتر هم بکند. تنها راه‌حلی که F-Secure پیشنهاد می‌کند این است که صنعت تبلیغات، خود مسئولیت این کار را به عهده گیرد. اندرو پاتل از شرکت F-Secure به Security Week گفته است: «بسترهای خدمات تبلیغات باید اقدامات امنیتی بهتری را تعبیه کنند. تبلیغاتی که ارائه می‌شود، قبل از اینکه وارد جامعه شود باید مورد بررسی قرار گیرد. این کار می‌تواند با گذراندن آن‌ها از مسیر راه‌حل‌های نظارت بر بدافزار و کیت بهره‌بردار صورت گیرد. حتی اگر این کار نیاز به یک جعبه شنی داشته باشد، ‌این کار کاملاً شدنی است».

اما هنوز مسئله‌ی دیگری هست که باید در نظر گرفته شود. یک مطالعه در سال ۲۰۱۵ از سوی دانشگاه سایمون فریزر در مورد استفاده از AdBlock Plus نشان می‌دهد که مسدود کردن تبلیغات متحرک می‌تواند موجب کاهش ۲۵ درصدی در میزان بارگیری شود. در جایی که شرکت‌ها به کارکنان اجازه می‌دهند تا در شبکه‌ی شرکت به مرورگری بپردازند، این کار می‌تواند موجب تغییر قابل‌توجه در هزینه‌‌ی‌ پهنای باند غیرتجاری شود. با این حل،‌ این هزینه تنها در صورتی افزایش خواهد یافت که تغییری به سمت تبلیغات بزرگ HTML۵ صورت گیرد.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

[easy-pricing-table id="6835"]