Imperva本周披露了一個偽裝成廣告封鎖程序AllBlock

導讀

Imperva本周披露了一個偽裝成廣告封鎖程序AllBlock，這款擴充程序雖然具有廣告封鎖能力，但同時也暗中進行廣告欺詐，通過注入更多廣告的擴展程序AllBlock，同時支持Chrome與Opera，在被Google下架前，已有超過5,000名Chrome用戶下載了AllBlock。

詳情

AllBlock宣稱自己是個多功能的廣告封鎖程序，得以封鎖YouTube及臉書的廣告，還能避免彈窗廣告或通知，它支持多種語言，從英文、法文、西班牙文、日文到簡體中文。

然而，Imperva發現，AllBlock雖然具有廣告封鎖能力，但它同時也是個廣告欺詐程序，它會將用戶目前所訪問網頁的網址及頁面上的連接等信息，通過一個腳本程序發送至一個遠程服務器，該遠程服務器再回傳想將用戶重新定向的域名，因此，當用戶點擊所訪問頁面上的連接時，它很可能已經被修改，而連至黑客所指向的網站，以替黑客賺取廣告分潤。

通過將合法的 URL 發送到遠程服務器，并接收重定向域列表作為響應。如果用戶點擊更改后的鏈接，用戶將被重定向到不同的頁面，通常是會員鏈接。

廣告注入腳本甚至具有規避技術，例如排除大型俄羅斯搜索引擎、每 100 毫秒清除調試控制臺以及主動檢測已初始化的 Firebug 變量。通過深入了解 AllBlock，Imperva 的團隊在“bg.js”中找到了他們正在尋找的腳本，該腳本將代碼注入瀏覽器上打開的每個新選項卡中。

c

此外，Imperva也相信AllBlock只是這波廣告欺詐活動的其中一個客戶端程序，應該有更多的瀏覽器擴展程序扮演與AllBlock同樣的角色。

這些廣告欺詐程序將會影響網站的性能與用戶經驗，進而波及網站的營收，另一方面，用戶也可能會被導向奇怪的網站或廣告內容。雖然Google已自Chrome Store將AllBlock下架，但已安裝AllBlock的用戶依然會受到影響。