WebVR has evolved to offer immersive browsing experiences by rendering a three-dimensional world on an HTML canvas. However, there is no browser-supported way of sharing this canvas between different parties. Assuming an abusive ad service provider who exploits this absence, our user study demonstrates the effectiveness of four new ad fraud attacks. The results show that it is possible for an attacker to perform those attacks inside the advertisement system without being detected. The feasibility of each attack demonstrates the severity of the threat caused by these vulnerabilities, and indicates the need for a practical way to defend against these attacks by restricting execution of external scripts.
브라우저를 통하여 가상현실을 체험 가능하도록 하는 웹 기술인 WebVR이 발전되어져 왔다. 이러한 새로운 기술은 HTML 캔버스에 3차원 가상현실을 렌더링함으로써 360도 몰입형 브라우징 경험을 가능하게 한다. 그러나, 현재로써는 서로 다른 출처의 스크립트들을 구분하면서 동일한 캔버스를 공유하도록 하는 방법을 브라우저에서 지원하고 있지 않다. 본 논문에서는 악의적인 광고 서비스 제공자가 이러한 한계점을 악용하여 WebVR 환경에서 네 가지의 새로운 형태의 부정 광고 공격들을 실행할 수 있음을 가정한다. 또한, 유저 스터디를 통하여 각각의 공격들이 유효함을 검증 하였고, 그 결과 공격의 성공률이 최소 88.23% 에서 100%까지에 이르는 것으로 나타났다. 이러한 결과는 공격자가 광고 시스템 내부에서 발각되지 않은 상태로 손쉽게 해당 공격들을 실행하는 것이 가능함을 보여준다. 각 공격들의 성공적인 효과는 현재 이러한 취약점으로 인한 위협의 심각성을 보여주고, 외부 스크립트의 실행을 제한함으로써 이를 방어하는 실질적인 방법이 필요함을 보여준다.