研究人员发现,互联网上最受欢迎的网站大约有一半存在恶意活动的风险,因为它们依赖于其他第三方链来导入外部资源,如广告提供商、跟踪和分析服务以及内容分发网络,而这些外部资源通常是正确加载内容所必需的。
这些第三方可以进一步从其他域加载资源,从而创建多达30多个域的依赖链,并通过与原始网站的隐式信任形式加以支持。研究发现,依赖链越大,对恶意活动的威胁就越大。
CSIRO Data61信息安全和隐私研究负责人、Optus Macquarie大学网络安全中心科学主任达利•卡法尔教授说,尽管这是一个众所周知的网络设计决策,但其对安全和隐私的影响往往被忽视。
“如今几乎所有的网站都大量嵌入了跟踪组件。对于你访问的每一个网站,你可能在不知情的情况下从潜在的恶意方加载内容,并留下你的互联网活动的痕迹,”卡法尔教授说。
研究还发现,与前20万网站相关的第三方中有1.2%是可疑的。流行的Web资源javascript通常用于改善Web的用户体验,它代表了恶意活动的最大风险,因为它们被设计为在未被检测到的情况下执行。
Kaafar教授说:“不应低估潜在的威胁,因为浏览器上装载的可疑内容可能会为进一步的攻击开辟道路,包括分布式拒绝服务攻击(会中断网站的流量)和勒索软件活动(2018年全球损失超过80亿美元)。
令人担忧的是,原始网站或“第一方”网站几乎看不到这些资源的来源。这表明网络上的内容缺乏“可信任性”,需要通过引入标准化的安全措施和明确信任的概念来更好地规范网络。”
解决依赖链产生的安全问题需要额外的研究、万维网联盟(World Wide Web Consortium)的支持、主要致力于开发Web标准的组织以及Web“超级巨头”。
同时,Kaafar教授建议安装简单的Web浏览器扩展,如广告和JavaScript拦截器,以限制通过Web暴露在恶意活动中。
(转载:www.idcew.com)