整个竞标过程仅需要不到一秒钟的时间。借助这一快速竞标机制,从点击链接到页面加载这短短的一小段时间,足以完成多场竞价。 用来推动竞价流程的关键数据(也就是广告商借以明确竞标标的以及具体报价的数据)通常是围绕用户收集到的信息。页面加载时便能明确获取到的用户信息通常包括地理位置、使用语言、浏览器类型和版本、以及操作系统信息。如果您加入了通过第三方 Cookies 收集的信息,例如年龄和其他人口统计信息,信息收集范围也会随之扩大。
凡事都是不尽完美的
广告商希望广告交易平台能够帮助他们以更低的成本,顺利将广告投放到目标客户。但是广告商的资质门槛很低,因此对于规模较小的企业和卖家来说,这在很多方面促成了他们得以在网上轻松散播广告的必要条件。然而,这也为恶意攻击者创造了条件。 由于许多广告交易网络都没有接受过严格的审查,于是让网络罪犯有机可循,很容易就能入侵到这些网络的内部,并与合法广告商一起竞标广告位。恶意攻击者不仅如此,恶意广告商还会利用通过围绕用户所收集的信息而获得的优势。例如,如果恶意攻击者发现用户使用旧版 Google Chrome 浏览器,他们就有机会进行出价,而且一旦胜出,他们就能投放恶意广告,以操控那些存在漏洞的浏览器。 还有一点很重要,那就是网站在利用广告网络作为广告展示平台时,必须要确保广告网络是合法且安全的。因为他们几乎难以筛查哪些广告是恶意广告。如果识别到恶意广告,尽管网站所有者可以从技术层面上将其移除,但对于已经受影响的用户来说几乎起不到任何防护作用。鉴于这一点,我们必须提醒用户不要把对特定网站的信任与该网站中显示的广告混为一谈。
然而最令人担忧的问题在于,恶意攻击者可借助通过广告交易平台搜集到的用户信息来发动主动攻击。例如,它们可以仅选择对 Internet Explorer 用户发布的广告进行出价。中标后,就能以它们的“广告”为载体发送 Adobe Flash Player 漏洞。如果 Flash 版本过旧,那么即使用户没有点击广告,计算机也会被攻击。恶意攻击者从一开始就利用了浏览器的安全漏洞,除了加载包含广告的网页,还迫使用户进行零交互。