Manuel Blázquez
Profesor de Documentación de la UCM
manublaz@ucm.es
Un medio de comunicación digital acaba de informar de una investigación publicada en el repositorio institucional arXiv.org de la Universidad de Cornell. Varios investigadores del Laboratorio Europeo NEC, Universidad Carlos III, Politecnico di Torino y el Instituto de Telecomunicaciones IMDEA detectaron un fallo en la contabilización de visitas que emplea el sistema de anuncios de Google al compararlas con las visitas contabilizadas por el sistema que incorpora Youtube para realizar las métricas sobre sus vídeos. De esta forma, se observa un fallo o truco al no ser capaz de discriminar aquellos clics reales de los clics ficticios generados por una máquina que podría resultar lucrativo para Google al usar el método «Pay per Clic». Ello se debe a que Google obtiene mayores beneficios al contabilizar un mayor número de visitas en los anuncios que gestiona dentro de los vídeos de Youtube.
Estos hechos resultan de importancia para la investigación que vengo desarrollando desde el año 2013, con el apoyo jurídico y legal del profesor de la UCM, Manuel Sánchez de Diego. En el mes de noviembre de 2013, durante el desarrollo del buscador WauSearch, realicé un sencillo descubrimiento que afectaba a los códigos de extensión .JS de Google, que son implementados en los sitios web. Éstos utilizan una serie de barreras de seguridad a base de ventanas marco, también denominadas «iframe» que se abren durante la ejecución del citado código .JS para ejecutar dentro de ellas un tercer código, programa o script que sirve para testar la sesión del usuario y verificar su autenticidad, antes de realizar cualquier tipo de operación. Una vez que estos programas se ejecutan, borran automáticamente la ventana/s marco «iframe» dentro del código fuente del sitio web, para no dejar rastro y evitar que cualquier bot, pueda acceder a información reservada, privada y sensible. Sin embargo, la protección es escasa. Por eso conociendo este problema, desarrollé un programa bot para experimentar ésta vulnerabilidad en el sistema de anuncios, Google Adsense.
El resultado fue positivo e inmediatamente después se realizaron diversas pruebas de clic automático sobre anuncios mediante un programa que imita el comportamiento de lectura de un usuario normal. Ello confirmó de facto que era posible no sólo obtener los enlaces de los anuncios que Google Adsense protege, ya que también permite hacer clic en ellos de forma automática. Todo ello con la repercusión económica que tiene. Debido a la importancia del fallo, consideramos que esta vulnerabilidad del sistema para contabilizar las visitas debía ser puesta en conocimiento de Google. Nuestro objetivo era que reconocieran la vulnerabilidad y si era posible colaborar en la resolución del problema.
Después de varias entrevistas y de presentar pruebas y nuevos test, Google con evasivas no llegó a reconocer que había una vulnerabilidad en Google Adsense. Se ha intentado infructuosamente publicar la investigación en revistas americanas del sector con factores de impacto en el ranking JCR. Hemos observado que parece casi imposible que el estudio sobre la vulnerabilidad salga a la luz, en parte por las consecuencias que se pueden deducir del experimento llevado a cabo. Un año después, se confirma que el problema ha sido detectado por otro equipo de investigación y se decide publicar definitivamente el trabajo de investigación completo, también en el repositorio arXiv.org, bajo el título «A vulnerability in Google AdSense: Automatic extraction of links to ads«. El estudio también puede ser descargado en las siguientes direcciones:
- Una vulnerabilidad en Google AdSense. Extracción automática de enlaces de anuncios. Disponible en: vulnerabilidad-google-adsense_es
- A vulnerability in Google AdSense. Automatic extraction of links to ads. Available in: vulnerabilidad-google-adsense_en
También cabe señalar que el estudio proporciona acceso al código fuente del programa extractor de enlaces de anuncios de Google y a una sencilla rutina de carga y redireccionamiento de páginas que fue utilizada para simular el comportamiento del usuario y realizar clics sobre los anuncios recuperados.
Repercusión en medios
- Anderson, Martin. 2015. Google AdSense click fraud made possible by uncloaking advertisers’ sites. The Stack. Disponible en: https://thestack.com/security/2015/09/28/google-adsense-click-fraud-iframe-blazquez/
- Chirgwin, Richard. 2015. AdSense fraud still too easy, says Spanish boffin. The Register. Disponible en: http://www.theregister.co.uk/2015/09/29/adsense_fraud_still_too_easy_says_spanish_boffin/
- SecurityLab. 2015. Un investigador fue capaz de eludir los mecanismos de seguridad en Google AdSense = Исследователь смог обойти механизмы защиты в Google AdSense. Disponible en: http://www.securitylab.ru/news/474852.php
- Mikhail, Diakov. 2015. Los trucos para AdSense siguen siendo muy fáciles = Мошенничать в AdSense все еще очень легко. ThreatPost. Disponible en: https://threatpost.ru/moshennichat-v-adsense-vse-eshhe-ochen-legko/12281/
- Pingback: Blog elhacker.net. 2015. Vulnerabilidad en el cómputo de los clics en Google AdSense. Disponible en: http://blog.elhacker.net/2015/09/vulnerabilidad-en-el-computo-de-los-clicks-google-adsense-robots.html
- Baker, H. 2015. Google AdSense vuln de-obfuscates ad links for click fraud. Cryptography@metzdowd.com. Disponible en: http://permalink.gmane.org/gmane.comp.encryption.general/24598
6 respuestas a “Vulnerabilidad en el cómputo de los clics en Google AdSense”
[…] Vulnerabilidad en el cómputo de los clics en Google AdSense […]
Hola Amigo , Donde Podria Conseguir el Programa Vigilante exploit Que sale En El video
Estimado Jack,
En efecto el programa Vigilante Exploit existe. Fue desarrollado para simular la navegación y consulta natural de los usuarios a través de un robot. Ello combinado con los clics automáticos obtenidos a través de la vulnerabilidad que he explicado en el artículo, permite superar todas las barreras de seguridad que Google tiene para estos casos. Pero lamento informar que no está a la venta y tampoco deseo proporcionarlo por motivos legales y de seguridad. Mi interés en este trabajo es puramente académico-científico y no pretendo causar daños en el funcionamiento del sistema de anuncios de Google. La motivación de este trabajo es demostrar que existe un problema, que en mi opinión es importante y que Google ha omitido e ignorado a pesar de su conocimiento.
Espero que puedas comprender mi posición, en cualquier caso, gracias por tu comentario y valorar el esfuerzo.
Recibe un cordial saludo!
Buenos días, Manuel.
Gran labor.
La única duda que me quedó después de leer el documento es por qué hay dos enlaces. ¿No se supone que debería de haber un solo link por bloque de anuncios?
Gracias,
Carlos.
Hola Carlos, muchas gracias. Me imagino que la pregunta se refiere a los enlaces que se obtienen, usando el programa que explota la vulnerabilidad en los anuncios de tipo AJAX en Google Adsense. La verdad es que originalmente también me esperaba encontrar un único enlace. Sin embargo el número de enlaces puede variar. Entiendo que tiene que ver con la sesión de usuario que lo está ejecutando. Por ejemplo ésto es muy frecuente desde una sesión localhost. Sin embargo si se prueba desde un servidor, vía proxy o bien usando la sesión IP de un tercer usuario, el número de enlaces a los anuncios cambia y se adapta según la experiencia acumulada de consultas en Google. De todos modos es muy probable que hayan aplicado cambios desde que percibí el problema, allá por el año 2013. Creo que el principal reto consiste más bien en evadir los sistemas de detección estadística por patrones, que determinan que X número de clics con cierta cadencia o frecuencia temporal en determinadas IP y navegadores son fraudulentos o no. Es posible superarlo si se utiliza una red de usuarios que inconscientemente ejecuten el programa de extracción de clics, cargándolo en segundo plano a través de iframe o similar. Esto logra el nivel de aleatoriedad necesario para evadir la revisión de Google Adsense.
Espero haber respondido a lo que me preguntabas,
Gracias una vez más por el interés y leer mblazquez.es
Saludos,
Manuel
Hola Profesor, en realidad admiro su trabajo y principalmente tus principios educativos y eticos.
Saludos desde Costa Rica Joel Brenes