Raport nt. reklamy w internecie zawiera wnioski i rekomendacje, przygotowane przez jeden z senackich podkomitetów, który zajął się tym tematem po ujawnieniu przypadków dystrybuowanie złośliwego oprogramowania za pośrednictwem sieci reklamy internetowej. Po jego opublikowaniu odbyły się publiczne przesłuchania i debaty, w których udział wzięli przedstawiciele firm Yahoo oraz Google (odpytywano ich m.in. o to, jak zamierzają zwalczać zagrożenia tego typu).

„Konsumenci mogą stać się ofiarami skutecznego ataku złośliwego oprogramowania nawet jeśli nie podejmą żadnego ryzykownego działania – wystarczy, że odwiedzą stronę, na której są wyświetlane zainfekowane reklamy” – napisano w dokumencie, w sekcji opisującej ataki przeprowadzone za pośrednictwem sieci reklamowych Yahoo i Google.

Zobacz również:

• Usługa WhatsApp uruchamiana na urządzeniach iOS będzie bardziej bezpieczna
• Amazon do pracowników: roboty was nie zastąpią

Wirusy w reklamach

Incydent związany z Yahoo wydarzył się pod koniec grudnia ubiegłego roku, zaś z Google – w lutym 2014. W obu przypadkach ktoś zdołał wprowadzić do systemu dystrybucji reklam złośliwe programy, które instalowały się w systemie nawet jeśli użytkownik nie kliknął na reklamę (wystarczyło, że zostały wyświetlone w przeglądarce).

„Podobne ataki zdarzały się już wcześniej, w wielu innych platformach reklamowych. Przestępcy mają cały zestaw technik, które można wykorzystać do wprowadzenia złośliwego oprogramowania do reklam – od włamywania się do sieci reklamowych, po podszywanie się pod „legalnego” reklamodawcę” – tłumaczą autorzy raportu.

Niektóre systemy wykorzystują co prawda zautomatyzowane narzędzia, których zadaniem jest monitorowanie sieci w poszukiwaniu potencjalnie niebezpiecznych reklam, jednak okazuje się, że przestępcy potrafią określać ich pozycję i przekierowywać swoje „reklamy” tak, by nigdy nie zostały przeskanowane. Zdarza też, że do skanowania wysyłane są odpowiednio spreparowane (pozbawione złośliwych cech) reklamy.

Rozmycie odpowiedzialności

„Branża reklamy internetowej jest tak gigantycznym i skomplikowanym sektorem rynku, że obecnie właściwie nikt nie czuje się za nią odpowiedzialny. Z uwagi na fakt, iż reklamy dostarczane są w ramach wielostronnej współpracy i przez kilku pośredników, właściwie nikt nie czuje się odpowiedzialny, gdy już dojdzie do zaatakowania użytkowników przez złośliwe oprogramowanie. Co więcej, w większości przypadków właściciel strony, która bezpośrednio dostarcza do komputera użytkownika złośliwe oprogramowania, nie ma pojęcia, że jest jednocześnie ofiarą i współwinnym ataku” – wyjaśniają autorzy raportu.

Wszystko to sprawia, że zwykły konsument jest właściwie bezbronny w obliczu takiego ataku – nie jest w stanie go zidentyfikować, zablokować infekcję, a często również usunąć z systemu złośliwe oprogramowanie.

Co więcej, stopień złożoności internetowego ekosystemu reklamowego sprawia również, że na szwank poważnie narażona jest prywatność internautów – nie są oni w stanie skutecznie kontrolować kto i w jakim celu gromadzi ich dane, a także do jakich celów są one wykorzystywane.

Jako przykład autorzy raportu podają pewną witrynę internetową (popularny tabloid), która bezpośrednio powiązana była z… 352 serwisami, sieciami i usługami reklamowymi. Jej wyświetlenie powodowało pobieranie danych z owych witryn, wysyłanie do nich informacji o aktywności użytkownika itp. Przedstawiciele Senatu podkreślają, że w takich sytuacjach nawet najbardziej świadomy i dysponujący odpowiednią wiedzą użytkownik nie jest w stanie skutecznie kontrolować co dzieje się z plikami cookie i innymi powiązanymi z nim danymi.

Czy potrzebne są regulacje państwowe?

Raport stwierdza jednoznacznie, że zarówno same firmy z branży reklamowej, jak i organizacje branżowe nie robią zbyt wiele by zabezpieczyć użytkowników przed złośliwym oprogramowaniem oraz zagrożeniami związanymi z prywatnością. „Skoro branża nie wprowadziła żadnych skutecznych wewnętrznych regulacji, Federalna Komisja Handlu powinna rozważyć opracowanie przepisów, które zabronią stosowania zwodniczych i nieuczciwych praktyk związanych z reklamą internetową. Chodzi o zablokowanie dystrybucji złośliwego oprogramowania, niekontrolowanego używania danych o internautach, inwazyjnych plików cookie itp.” – podsumowują autorzy raportu.

Warto przy okazji wspomnieć, że firmy Google, Facebook, Twitter oraz AOL powołały niedawno do życia organizację, która przynajmniej w części ma pełnić funkcje podobne do postulowanych przez raport. Chodzi o TrustInAds.org – inicjatywę mającą na celu edukowanie konsumentów nt. szkodliwych i potencjalnie niebezpiecznych zjawisk związanych z reklamą internetową.