PowerLinks 广告将来自 The Verge、Vice News 等主要出版物的数百万读者置于危险之中

Vice NewsCNET、The VergeNeowin等主要网站的读者自 2015 年以来一直面临安全风险,因为他们从PowerLinks 广告(PowerLinks advertising) 平台投放的广告使用(platform use)了过期的SSL证书。以下是正在发生的事情,您在阅读包含PowerLinks广告的出版物时会接触到的内容,以及您可以采取哪些措施来确保安全:

通过 PowerLink 投放的广告的SSL证书已于 2015 年10 月到期(October 2015)

在我的个人计算机上阅读多个网站时,我注意到我的安全解决方案(security solution)抱怨我的浏览器试图通过使用不受信任的证书加密的通道进行通信。我的防病毒软件无法保证建立加密连接的域的真实性,这给我带来了安全风险(security risk)。最初,我忽略了这个警告,只是继续阅读。但是,在几个大网站上看到之后,我开始关注并更详细地研究了一些东西。

我惊讶地发现这个警告出现在大型在线出版物上,而且它总是由 pw.powerlinks.com 提供的广告引起的。他们都有一个在 2015 年10 月(October 2015)过期的SSL 证书(SSL certificate),如下所示。

PowerLinks、广告、SSL、过期

为了仔细检查这是否属实而不是虚惊一场,我尝试了另一种一流的安全产品(security product),结果是一样的。我浏览了更多网站,并注意到出版界(publishing world)的一些大人物正在重复同样的问题。

PowerLinks 为(PowerLinks offer)出版商提供什么?

根据他们的官方网站,PowerLinks拥有全面的广告解决方案和服务组合。他们为其客户组合中的网站提供广告服务器、 (Ad Server)Ad Exchange 平台(Ad Exchange platform)、原生广告(文本内、视频内、图像内、信息流和展示广告)等。

为什么这是一个问题?当网站展示带有过期SSL(SSL)证书的广告时我们面临的问题

如果您没有安装好的安全解决方案(security solution),您可能永远不会注意到这个问题。但是,如果您使用实时扫描您的HTTP 流量的优秀防病毒软件,那么您将会对使用(HTTP traffic)PowerLinks提供的广告服务的几家大型媒体出版物上的安全提示(security prompt)感到恼火。

撇开烦人的因素(annoyance factor)不谈,我们向Catalin Patrascu(罗马尼亚国家计算机安全事件响应小组的(National Computer Security Incident Response Team)信息安全和监控部门负责(Information Security and Monitoring Department)人)询问了这些广告所涉及的安全风险,他陈述了以下内容:

“理论上,即使 SSL 证书过期,也可以进行验证。对于习惯了这种错误并且每次收到错误时不检查 SSL 证书的用户,存在被重定向到恶意的风险页面并成为中间人攻击的目标”("Theoretically, the verification of SSL certificates can be done even though they are expired. For the users that get used to this error and don't check the SSL certificate each time they get the error, there is the risk of getting redirected to malicious pages and becoming the target of man-in-the-middle attacks")

另一个需要考虑的重要事情是,这些广告还会跟踪用户数据和用户行为。这些数据是通过不安全的渠道(insecure channel)发送的,容易被不受欢迎的人拦截。

受此问题影响的网站包括:The VergeVice NewsCNET

我们不知道受此问题影响的网站的确切列表。我们假设所有PowerLinks客户都处于危险之中。到目前为止,我们已经在 The VergeVice NewsCNETNeowin 等(Neowin and others)大型媒体出版物上发现了这个问题。这些网站每个月都有数以千万计的读者,自 2015 年10 月(October 2015)以来,他们每天投放PowerLinks广告,其受众的安全都面临风险。

这个问题是由PowerLink的疏忽造成的

我们在这里处理的是明显的疏忽。这些SSL证书在几天或一个月内没有过期。它们自 2015 年以来已过期,PowerLinks 没有尽其所能为在线出版物和这些出版物的读者提供安全的广告解决方案。他们的技术团队没有注意到他们的广告平台(advertising platform)使用了已经过期多年的SSL证书,并且没有采取任何措施来解决这个问题,同时让数百万读者处于危险之中。(SSL)恶意软件(Did malware)创建者是否利用了这个问题?这是一个很好的问题,我们不确定 PowerLinks 是否可以回答。最后,他们甚至没有处理到期日期等基本问题。

哪些安全(Which security)产品帮助我发现了这个问题?

我第一次发现这个问题是在我浏览前面提到的一些网站并使用ESET Smart Security作为我的防病毒软件时。

PowerLinks、广告、SSL、过期

Kaspersky Total Security也确认了此问题,如下所示。

PowerLinks、广告、SSL、过期

我们很高兴这些产品在通知我们并保护我们免受PowerLinks广告平台的安全漏洞的影响方面发挥了作用,并帮助我们解开了正在发生的事情。这进一步证明了您应该始终安装第三方防病毒产品(antivirus product)并停止不安全地浏览网页。如果您想了解更多有关在不受保护的情况下浏览网页所涉及的风险的信息,请阅读我们运行的这个实验:如何在免费浏览网页时感染您的Windows PC 。

我们做了什么来帮助受此安全问题(security issue)影响的读者和出版物?

首先(First),我们写这篇文章是为了告诉大家这件事。我们还要求PowerLinks发表官方评论。但是,他们的官方联系电子邮件不起作用,我们收到的只是一个 Delivery Status Notification Failure,您可以在下面看到。

PowerLinks、广告、SSL、过期

我们使用他们的社交媒体渠道将这篇文章发送给我们发现的所有受影响的媒体出版物,以及PowerLinks 。我们希望他们不会忽视我们的信息,并会采取措施解决这个问题。

UPDATE (03/21/2017):我们终于设法将我们的消息发送到PowerLinks,我们收到了来自业务开发副总裁(VP Business Development)Branden Smythe的以下答复:

“我收到您联系 PowerLinks 的通知。我们将尽快解决您发布的问题。”("I received notice that you reached out to PowerLinks. We will address the concerns you posted shortly.")

今天,我们再次检查了发现我们描述的问题并且现在一切正常的网站。PowerLinks似乎已经采取了必要的措施来保护他们在所有网站上的广告投放(ad delivery),这很棒。希望(Hopefully)他们能从这个问题中吸取教训,并更好地处理安全基础知识,例如SSL证书的到期日期(expiration date)

您可以做些什么来保护自己免受不安全的PowerLinks广告的侵害?

如果您的安全解决方案(security solution)抱怨PowerLinks广告使用的(PowerLinks)SSL证书过期,您应该阻止它们。如果您没有扫描实时HTTP 流量(HTTP traffic)的防病毒软件,那么您应该使用隐私浏览模式运行这些网站,这些模式也可以阻止不安全的广告或找到其他阻止它们的方法。我们不喜欢在我们提到的网站上屏蔽广告,因为广告是使这些出版物能够为每个人提供优质内容的原因。希望这个问题能很快得到解决,我们都可以安全地享受我们最喜欢的出版物,而不会阻止他们的广告并让他们从工作中获得收入。



About the author

我是一名软件工程师,在 Xbox 行业拥有超过 10 年的经验。我专注于游戏开发和安全测试。我也是一位经验丰富的评论员,并且一直在为一些游戏界的知名人士开发项目,包括 Ubisoft、Microsoft 和 Sony。在空闲时间,我喜欢玩电子游戏和看电视节目。



Related posts