Google研究：網路搜尋、瀏覽的風險漸增

Google安全工程師Niels Provos本周在官方部落格中揭露，使用者不論是在網路上搜尋或瀏覽時所遇見的惡意內容愈來愈多，同時，網路廣告亦成為惡意程式的傳播管道。

Niels Provos表示，Google在一年半以前就開始辨識含有偷渡式下載（drive-by downloads）的網頁，該功能可讓使用者在不知不覺中下載並安裝惡意程式，Google偵測了數十億的網址，發現在18萬個網站上有多達300萬以上的獨立網址會自動在使用者系統中安裝惡意程式。

Google研究了使用者如何曝露在這些惡意網頁中，以及這些惡意程式是透過何種管道傳播。其中，Google發現使用者透過搜尋功能所查的搜尋結果頁中藏匿的有害網頁比例漸增，在去年4月，只有不到0.4%的搜尋結果連結含有惡意程式，但近幾個月來，含有惡意程式的網頁比例已超過1%。

此外，使用者的瀏覽習慣也影響了惡意程式的藏匿之處。例如研究發現，成人網頁被植入惡意程式的風險最高。

Google並調查這些被植入惡意程式的網站所使用的Apache及PHP程式語言，以了解是否是網站安全性不夠才導致惡意程式入侵，結果發現有逾38%的程式語言是老舊的版本，因此增加了惡意程式入侵的機會。

此外，第三方的內容也是惡意內容的潛在指標，而其中有很多的第三方內容是廣告，Google偵測2000個知名廣告網路的散布管道，發現有2%的惡意網站是透過廣告散布惡意程式，這是因為聯合式的網路廣告來源通常是不知名的，因此Google也呼籲參與聯合式廣告（syndicated advertising）網路的網站要小心相關問題。

Google亦探查惡意程式傳播網站的結構，發現有些傳播網站甚至有多達2.1萬的正常網站指向它們，而主要管理惡意程式的伺服器多半座落於中國。（編譯/陳曉莉）