Vice News、CNET、The Verge、Neowinなどの主要なWebサイトの読者は、 PowerLinks広告(PowerLinks advertising) プラットフォーム(platform use)から実行される広告が期限切れのSSL証明書を使用しているため、2015年以降セキュリティリスクにさらされています。何が起こっているのか、PowerLinks広告を含む出版物を読むときに何にさらされているのか、そして安全を保つために何ができるのかを次に示します。
PowerLinksを介して配信される広告には、 2015年10月に有効期限が切れた(October 2015)SSL証明書があります
パーソナルコンピュータでいくつかのWebサイトを読んでいるときに、セキュリティソリューション(security solution)が、信頼できない証明書で暗号化されたチャネルを介してブラウザが通信しようとしていると不平を言っていることに気付きました。私のアンチウイルスは、暗号化された接続が確立されたドメインの信頼性を保証できず、これが私にセキュリティリスク(security risk)をもたらしました。最初は、この警告を無視して読み続けました。しかし、いくつかの大きなウェブサイトでそれを見た後、私は注意を払い始め、物事をより詳細に研究しました。
この警告が大規模なオンライン出版物に表示されており、常にpw.powerlinks.comから配信された広告が原因であることに驚きました。以下に示すように、それらすべてに2015年10月(October 2015)に有効期限が切れたSSL証明書(SSL certificate)があります。
これが単なる誤警報ではなく真であるかどうかを再確認するために、別の一流のセキュリティ製品(security product)を試しましたが、結果は同じでした。私はより多くのウェブサイトをナビゲートし、同じ問題が出版界(publishing world)のいくつかの有名人に繰り返されていることに気づきました。
PowerLinksはパブリッシャーに何を提供(PowerLinks offer)しますか?
彼らの公式ウェブサイトによると、PowerLinksは広告ソリューションとサービスの包括的なポートフォリオを持っています。クライアントのポートフォリオ内のサイトに広告サーバー、(Ad Server)広告交換プラットフォーム(Ad Exchange platform)、ネイティブ広告(テキスト内、ビデオ内、画像内、フィード内、ディスプレイ内の広告)などを提供します。
なぜこれが問題なのですか?WebサイトにSSL(SSL)証明書の有効期限が切れた広告が表示されるときに発生する問題
優れたセキュリティソリューション(security solution)がインストールされていない場合、この問題に気付かない可能性があります。ただし、 HTTPトラフィック(HTTP traffic)をリアルタイムでスキャンする優れたウイルス対策ソフトウェアを使用している場合は、 PowerLinksが提供する広告サービスを使用するいくつかの大規模なメディア出版物のセキュリティプロンプト(security prompt)に悩まされます。
煩わし(annoyance factor)さはさておき、Catalin Patrascu(ルーマニア国立コンピュータセキュリティインシデント対応チームの情報セキュリティおよび監視部門の責任者)に(National Computer Security Incident Response Team)、(Information Security and Monitoring Department)これらの広告に伴うセキュリティリスクについて尋ねたところ、彼は次のように述べました。
「理論的には、SSL証明書の検証は、有効期限が切れていても実行できます。このエラーに慣れていて、エラーが発生するたびにSSL証明書をチェックしないユーザーにとっては、悪意のあるユーザーにリダイレクトされるリスクがあります。ページと中間者攻撃の標的になる」("Theoretically, the verification of SSL certificates can be done even though they are expired. For the users that get used to this error and don't check the SSL certificate each time they get the error, there is the risk of getting redirected to malicious pages and becoming the target of man-in-the-middle attacks")。
考慮すべきもう1つの重要な点は、これらの広告がユーザーデータとユーザーの行動も追跡することです。このデータは安全でないチャネル(insecure channel)を介して送信されるため、不要な第三者による傍受に対して脆弱なままになります。
この問題の影響を受けるWebサイトには、The Verge、Vice News、CNETなどがあります。
この問題の影響を受けるWebサイトの正確なリストはわかりません。すべてのPowerLinksの(PowerLinks)お客様が危険にさらされていると想定しています。これまでのところ、The Verge(Verge)、Vice News、CNET、Neowinなど(Neowin and others)の大規模なメディア出版物でこの問題を特定しています。これらのWebサイトには、毎月数千万人の読者がおり、2015年10月以降、 (October 2015)PowerLinks広告を掲載している毎日、オーディエンスのセキュリティが危険にさらされています。
この問題は、 PowerLink(PowerLink)の一部の明白な過失によって引き起こされます
ここで扱っているのは明白な過失です。これらのSSL証明書は、数日または1か月間有効期限が切れていません。それらは2015年から期限切れになっており、PowerLinksは、オンライン出版物とそれらの出版物の読者の両方に安全な広告ソリューションを提供するという仕事をしていません。彼らの技術チームは、彼らの広告プラットフォームが何年もの間期限切れになっている(advertising platform)SSL証明書を使用していることに気づかず、何百万もの読者を危険にさらしながらこの問題を解決するために何もしませんでした。マルウェア(Did malware)の作成者はこの問題を悪用しましたか?これは良い質問であり、PowerLinksが答えられるかどうかはわかりません。結局、彼らは有効期限のような基本的なことさえしませんでした。
(Which security)この問題を発見するのに役立ったセキュリティ製品はどれですか?
この問題を最初に見つけたのは、前述のWebサイトのいくつかをナビゲートし、アンチウイルスとしてESETSmartSecurityを使用したときでした。
この問題は、以下に示すように、 KasperskyTotalSecurityによっても確認されました。
これらの製品が、 PowerLinks(PowerLinks)広告プラットフォームのセキュリティの脆弱性から私たちに情報を提供し、私たちを安全に保ち、何が起こっているのかを解明するのに役立つことを嬉しく思います。さらに、常にサードパーティのウイルス対策製品(antivirus product)をインストールし、セキュリティで保護されていないWebの閲覧を停止する必要があることを証明します。保護されていないWebの閲覧に伴うリスクについて詳しく知りたい場合は、私たちが実行したこの実験を読んでください。無料のものをWebを閲覧しているときにWindowsPCに感染する方法。(Windows PC)
このセキュリティ問題(security issue)の影響を受ける読者や出版物を支援するために、私たちは何をしましたか?
まず第一(First)に、私たちはこの問題について皆に知らせるためにこの記事を書きました。また、PowerLinksに公式コメントを求めました。ただし、公式の連絡先メールアドレスは機能せず、受信したのは配信ステータス通知の失敗(Status Notification Failure)だけです。これは以下で確認できます。
この記事は、影響を受けることがわかったすべてのメディア出版物と、ソーシャルメディアチャネルを使用してPowerLinksに送信しました。(PowerLinks)彼らが私たちのメッセージを無視せず、この問題を解決するための措置を講じることを願っています。
UPDATE (03/21/2017):PowerLinks(Branden Smythe)にメッセージを送信することができ、ビジネス開発担当副社長(VP Business Development)のBrandenSmythe(PowerLinks)から次の回答を受け取りました。
「PowerLinksに連絡したという通知を受け取りました。投稿した懸念事項については、まもなく対応します。」("I received notice that you reached out to PowerLinks. We will address the concerns you posted shortly.")
今日、私達は私達が説明した問題を見つけたウェブサイトをもう一度チェックしました、そして物事は今うまくいっています。PowerLinksは、すべてのWebサイトでの(PowerLinks)広告配信(ad delivery)を保護するために必要な手順を実行したようです。これはすばらしいことです。うまくいけば(Hopefully)、彼らはこの問題から学び、SSL証明書の有効期限(expiration date)などのセキュリティの基本をよりよく世話するでしょう。
安全でないPowerLinks(PowerLinks)広告から身を守るために何ができますか?
セキュリティソリューションが(security solution)PowerLinks広告で使用される期限切れの(PowerLinks)SSL証明書について不平を言っている場合は、それらをブロックする必要があります。リアルタイムのHTTPトラフィック(HTTP traffic)をスキャンするアンチウイルスがない場合は、プライベートブラウジングモードを使用してこれらのWebサイトを実行し、安全でない広告をブロックするか、他の方法でブロックする必要があります。広告は、これらの出版物がすべての人に素晴らしいコンテンツを提供できるようにするものであるため、私たちは言及したWebサイトで広告をブロックするのが好きではありません。うまくいけば、この問題はすぐに解決され、広告をブロックしたり、仕事から収入を得たりすることなく、お気に入りの出版物を安全に楽しむことができます。
PowerLinks ads put millions of readers at risk, from major publications like The Verge, Vice News and more
Readers of majоr websites like Vice News, CNET, The Verge, Neowin and more, have been exposеd to secυrіty risks since 2015 because the adѕ they run from thе РowerLinks advertising platform use expired SSL сertificates. Here'ѕ what іs going on, what you arе exposing yourself to when reading publications that include PowerLinks ads and what yоu can do to stay safe:
The ads served through PowerLinks have SSL certificates that expired in October 2015
While reading several websites on my personal computer, I have noticed that my security solution was complaining that my browser is trying to communicate over a channel that is encrypted with an untrusted certificate. My antivirus could not guarantee the authenticity of the domain to which the encrypted connection was established, and this posed a security risk for me. Initially, I ignored this warning and just kept reading. However, after seeing it on several big websites, I started paying attention and studied things in more detail.
I was surprised to find that this warning is shown on large online publications and it is always caused by ads served from pw.powerlinks.com. All of them have an SSL certificate that expired in October 2015, as you can see below.
To double check whether this was true and not just a false alarm, I tried another top-notch security product, and the results were the same. I navigated more websites and noticed that the same problem was repeating for some big names in the publishing world.
What does PowerLinks offer publishers?
According to their official website, PowerLinks has a comprehensive portfolio of advertising solutions and services. They offer an Ad Server for the sites in their portfolio of clients, an Ad Exchange platform, native ads (in-text, in-video, in-image, in-feed and in-display ads) and more.
Why is this an issue? The problems we're exposed to when websites display ads with expired SSL certificates
If you don't have a good security solution installed, you might never notice this issue. However, if you use a good antivirus which scans your HTTP traffic in real-time, then you will be annoyed by a security prompt on several large media publications that use advertising services provided by PowerLinks.
Leaving the annoyance factor aside, we asked Catalin Patrascu (head of the Information Security and Monitoring Department at the Romanian National Computer Security Incident Response Team) about the security risks involved with these ads, and he stated the following:
"Theoretically, the verification of SSL certificates can be done even though they are expired. For the users that get used to this error and don't check the SSL certificate each time they get the error, there is the risk of getting redirected to malicious pages and becoming the target of man-in-the-middle attacks".
Another important thing to consider is that these ads also track user data and user behavior. This data is sent through an insecure channel, leaving it vulnerable to interception by unwanted parties.
The websites that are affected by this issue include: The Verge, Vice News, CNET, and more
We don't know the exact list of websites that are impacted by this issue. We assume that all PowerLinks customers are at risk. So far, we have identified this problem on large media publications like The Verge, Vice News, CNET, Neowin and others. These websites have dozens of millions of readers each month, and the security of their audience has been put at risk every day they have run PowerLinks ads, since October 2015.
This problem is caused by plain negligence on PowerLink's part
What we are dealing here is plain negligence. These SSL certificates have not been expired for a couple of days or a month. They have been expired since 2015 and PowerLinks are not doing their job of offering secure advertising solutions to both online publications and readers of those publications. Their technical team did not notice that their advertising platform uses SSL certificates that have been expired for years and did nothing to solve this problem while putting millions of readers at risk. Did malware creators exploit this issue? That's a good question, and we're not sure whether PowerLinks can answer. In the end, they did not even take care of basics like expiration dates.
Which security products helped me discover this issue?
The first time I found this problem was when I was navigating some of the websites I mentioned earlier and used ESET Smart Security as my antivirus.
This issue was also confirmed by Kaspersky Total Security, as you can see below.
We're pleased that these products did their job in informing us and keeping us safe from the security vulnerabilities of the PowerLinks ads platform and helps us unravel what is going on. It's further proof that you should always install a third-party antivirus product and stop browsing the web, unsecured. If you are curious to learn more about the risks involved with browsing the web unprotected, read this experiment that we have run: How to infect your Windows PC while browsing the web for free stuff.
What did we do to help readers and publications that are affected by this security issue?
First of all, we wrote this article to inform everyone on this matter. We also asked PowerLinks for an official comment. However, their official contact e-mail doesn't work, and all we received is a Delivery Status Notification Failure, which you can see below.
We sent this article to all the media publications that we've found that are affected, as well as to PowerLinks, using their social media channels. We hope that they won't ignore our message and will take measures to fix this problem.
UPDATE (03/21/2017): We finally managed to get our message sent to PowerLinks, and we received the following answer from Branden Smythe, VP Business Development:
"I received notice that you reached out to PowerLinks. We will address the concerns you posted shortly."
Today, we checked again the websites where we have found the issues that we described and things are now working well. It seems that PowerLinks has performed the necessary steps to secure their ad delivery on all websites, which is great. Hopefully, they will learn from this problem and take better care of security basics like the expiration date of SSL certificates.
What can you do to protect yourself from insecure PowerLinks ads?
If your security solution is complaining about the expired SSL certificates used by PowerLinks ads, you should block them. If you don't have an antivirus which scans your real-time HTTP traffic, then you should run these websites using private browsing modes that also block the insecure ads or find some other way of blocking them. We are not fans of blocking ads on the websites that we have mentioned because advertising is what keeps these publications able to provide everyone with great content. Hopefully, this problem will be solved soon, and we can all enjoy our favorite publications, safely, without blocking their advertising and allowing them to earn revenue from their work.
