Helft video overlay-advertenties op gratis livestreamsites blijkt gevaarlijk

Onderzoekers van iMinds – KU Leuven en de Amerikaanse Stony Brook universiteit hebben het allereerste empirische onderzoek afgerond naar de veiligheidsrisico’s van gratis livestreamsites; de kans op malware-infecties en frauduleuze praktijken blijkt groot

Achtergrond

Miljoenen mensen, overal ter wereld, maken gebruik van gratis livestreamdiensten om sport- en live-evenementen te bekijken via het internet. Heel wat bezoekers van deze websites weten dat de videocontent vaak wordt gestreamd zonder toestemming van de eigenaar van die content. Wat ze echter minder lijken te beseffen, is het risico dat ze lopen om hun toestellen te infecteren met malware. Bovendien kunnen hun persoonlijke gegevens worden gestolen en kunnen ze het slachtoffer worden van internetfraude.

“Tot nog toe werden gratis livestreamdiensten voornamelijk geanalyseerd uit juridisch oogpunt. Voor zover we weten, is er echter nog geen empirisch onderzoek uitgevoerd dat het onderliggende ecosysteem systematisch analyseert, de modus operandi ervan onthult en het gevaar becijfert voor internetgebruikers die een beroep doen op gratis livestreamdiensten. Met ons onderzoek wilden we deze lacune wegwerken,” zegt M. Zubair Rafique (departement Computerwetenschappen KU Leuven en iMinds).

Onderzoeksresultaten

Om de impact van deze diensten op gebruikers na te gaan en de infrastructuur van het wereldwijde ecosysteem in kaart te brengen, ontwikkelden onderzoekers van iMinds – KU Leuven en de Stony Brook universiteit een semi-automatische tool waarmee ze meer dan 23.000 gratis livestreampagina’s identificeerden. Dat kwam overeen met ruim 5.600 domeinnamen (waarvan meer dan 20% behoort tot Alexa’s lijst van 100.000 meest bezochte websites). Daarna bezochten ze de geïdentificeerde domeinen meer dan 850.000 keer en analyseerden ze het gegevensverkeer dat daaruit voortvloeide, goed voor ruim een terabyte aan data.

“Het is een publiek geheim dat het ecosysteem dat gratis livestreamdiensten aanbiedt er niet voor terugdeinst om misleidende technieken toe te passen. Op die manier wordt geld verdiend aan de miljoenen bezoekers die van deze diensten gebruik maken om (sport)evenementen live te bekijken,” zegt Nick Nikiforakis (Stony Brook University). “Zo gebruiken deze websites onder meer frauduleuze overlay-advertenties. Die maken bijvoorbeeld gebruik van valse afsluitknoppen bovenop de videospeler. Als gebruikers daarop klikken, worden mogelijk andere websites geopend die malware bevatten.”

“Toch is het resultaat van onze studie – het allereerste empirische onderzoek naar deze bedreiging – heel confronterend: we ontdekten niet alleen opvallend veel inbreuken op auteursrechten en handelsmerken, maar stelden ook vast dat bezoekers die op overlay-advertenties klikken, in de helft van de gevallen naar een webpagina met malware worden geleid. Bovendien constateerden we dat de meeste internetpagina’s met malware zo waren opgebouwd dat ze eruitzagen als de gratis livestreamwebsites. Zo proberen ze gebruikers te misleiden en ertoe aan te zetten malware te installeren: de gebruiker moet zogezegd speciale software downloaden om de livestream te kunnen bekijken,” besluit M. Zubair Rafique. “Chrome en Safari bleken gevoeliger te zijn voor deze aanpak dan andere browsers. Dat komt waarschijnlijk omdat aanvallers geneigd zijn zich te focussen op de meer populaire browsers. Tot slot bleken gratis livestreamdiensten ook anti-adblockscripts te bevatten die courante adblockerextensies proberen te detecteren en uit te schakelen.”

Aanbevelingen

Omdat de bedreiging zo omvangrijk is, hebben de onderzoekers een tool ontwikkeld die onder andere kan worden gebruikt om bezoekers van potentieel gevaarlijke websites te waarschuwen. De tool kan veiligheidsanalisten ook helpen onbekende pagina’s die gratis livestreamdiensten aanbieden te detecteren en identificeren, om zo te proberen inbreuken op auteursrechten en handelsmerken tegen te gaan. Dankzij zijn nauwkeurigheid en doeltreffendheid kan de tool makkelijk worden gebruikt om zulke onbekende webpagina’s op te sporen. Een prototype is momenteel beschikbaar voor studenten van de KU Leuven. In de toekomst zal de tool vrij kunnen worden gebruikt voor onderzoeksdoeleinden.