Home Technik Das Filtern von Doodad in Adblock Plus öffnet die Tür für Malware-Injektionen...

Das Filtern von Doodad in Adblock Plus öffnet die Tür für Malware-Injektionen von Drittanbietern

Eine im letzten Jahr in Adblock Plus eingeführte Funktion und einige andere verwandte Browsererweiterungen zum Blockieren von Inhalten ermöglichen es Anbietern von Filterlisten, unter bestimmten Bedingungen beliebigen Code auf Webseiten auszuführen.

Adblock Plus v3.2 für Chrome, Firefox und Opera, veröffentlicht im Juli 2018, enthält Unterstützung für $ umschreiben Filteroption, die Filterregeln ändern kann, die bestimmen, ob Inhalte blockiert werden. Der Grund dafür ist, dass es Zeiten gibt, in denen es besser ist, eine Webanforderung umzuleiten, anstatt sie zu blockieren.

Das $ umschreiben Filter bietet eine Möglichkeit, Tracking-Daten aus URLs zu entfernen. Ein Beispiel ist die Vermeidung von Google Accelerated Mobile Pages (AMP). "Wir könnten Menschen auf die Nicht-AMP-Seite umleiten, da AMP nur dazu dient, zu werben und zu verfolgen, um das Web nicht wirklich zu verbessern", schlug Hubert Figuière, Entwickler von Adblock Plus, im letzten Jahr vor.

Andere Erweiterungen zum Blockieren von Inhalten mit verwirrend ähnlichen Namen wie AdBlock und uBlock (im Besitz von AdBlock und nicht in Verbindung mit uBlock Origin) sollen die ebenfalls implementiert haben $ umschreiben Möglichkeit. Mit dieser Anweisung können von Drittanbietern verwaltete Filterlisten URL-Parameter selektiv umschreiben.

Laut Sebastian sind Webseiten unter bestimmten Bedingungen anfällig: Wenn sie eine JavaScript-Zeichenfolge über laden XMLHttpRequest oder Holen und den zurückgegebenen Code ausführen; wenn sie den anwendbaren Domänenursprung, der mit Richtlinien für die Inhaltssicherheitsrichtlinie oder mit der URL-Überprüfung abgerufen wurde, nicht einschränken können; und wenn der Ursprung des abgerufenen Codes eine serverseitige offene Umleitung hat oder das Hosting beliebiger Benutzerinhalte ermöglicht.

In einem solchen Fall könnte ein nicht vertrauenswürdiger Anbieter von Filerlistendaten eine schädliche Filterzeichenfolge enthalten, die beliebigen Code ausführt.

In einem Blogpost am Montag sagte der Entwickler Armin Sebastian, der das Problem gefunden hatte, dass er Google über die potenzielle Sicherheitslücke informiert habe, doch das Unternehmen hält das beabsichtigte Verhalten für eher als einen Fehler.

Adblock Plus in einer E-Mail an Das Register "Wir nehmen das sehr ernst und untersuchen derzeit das tatsächliche Risiko für unsere Benutzer, die beste Gegenmaßnahme zu ermitteln."

In seiner Erklärung sagte Adblock Plus Unterstützung für $ umschreiben "Es wurde hinzugefügt, damit Autoren von Filterlisten Umgehungsversuche effektiv blockieren können, bei denen eine Website versucht, Anzeigen auf Besucher zu erzwingen, die einen Werbeblocker verwenden."

"Das neue Feature ist eine grundlegende Veränderung von der Funktionsweise von Werbeblockern", sagte Sebastian in einem Twitter-Gespräch mit Das Register.

"In der Vergangenheit war das Schlimmste, was passieren konnte, dass ein Anbieter bösartiger Filterlisten den Zugriff auf eine Website blockierte. Dies wäre ein geringfügiger Ärger gewesen, der leicht zu erkennen ist $ umschreiben Die Filteroption ermöglicht, wenn sie mit anderen Sicherheitsproblemen von Web-Services verkettet ist, die Kontoübernahme und die Exfiltration privater Daten. Das ist ein richtiger Sprung davon, wie Nutzer Werbeblocker für die Arbeit wahrnehmen. "

Sebastian sagte, er wisse nicht, ob jemand Filterlisten ausgenutzt habe, aber Manipulation sei schwer zu erkennen. "Diese Methode ermöglicht die Bereitstellung von Payloads auf Anfragebasis. Sie können gezielt angegriffen, ausgenutzt und die Beweise aus dem Erweiterungsspeicher gelöscht werden, ohne dass die Payload als Teil einer öffentlichen Filterliste veröffentlicht werden muss", sagte er.

Grund zur Sorge

Raymond Hill, der Schöpfer der konkurrierenden Inhalte, die die Erweiterung uBlock Origin blockieren, sagte letztes Jahr, er würde nicht implementieren $ umschreiben aus Sicherheitsgründen. Insbesondere befürchtete er, dass die Beschränkungen des gleichen Ursprungs nicht ausreichen würden, da Websites wie GitHub denselben Ursprung (github.com) haben können, während verschiedene Personen die Kontrolle über den Inhalt auf verschiedenen Seiten haben.

"Selbst mit genau demselben Ursprung könnte ein Verfasser einer böswilligen Filterliste einer Netzwerkanforderung etwas Schlechtes hinzufügen", schrieb er und stellte fest, dass er eine als "Option" bezeichnete Option vorgezogen habe querystrip Dadurch werden URL-Abfrageparameter entfernt, aber nicht neu geschrieben.

chrome_shutterstock

Als Internetnutzer schreien Devs blutigen Mord über Chrome-Werbeblock, Googlers beharrt: Es ist (noch) nicht in Stein gemeißelt

WEITERLESEN

In einer E-Mail an Das RegisterHill sagte: "Der Exploit setzt voraus, dass ein Filterlisten-Betreuer unerwünscht ist, ein unwahrscheinliches Szenario, insbesondere für auffällige Filterlisten, d. H. Solche, die standardmäßig von den betroffenen Blockern verwendet werden. [Sebastian’s post] macht geltend, dass die Möglichkeit besteht und diese von den Benutzern entsprechend ihrer persönlichen Vertrauensentscheidung berücksichtigt werden muss. "

Adblock Plus sagte $ umschreiben wurde eingeschränkt, um die Ausführung von Skripts zu verhindern, aber trotz der Einstellungen für die Inhaltssicherheitsrichtlinie "erlauben bestimmte Websites die Interpretation von Klartext von Dritten als Code und führen ihn aus."

Das Unternehmen gab an, die Ausbeutung sei unwahrscheinlich (und sah keine Ausbeutungsversuche), weil Autoren überprüft werden, die zu standardmäßig in Adblock Plus aktivierten Filterlisten beitragen. Außerdem werden Filterlisten regelmäßig überprüft.

"Trotzdem gibt es immer noch Websites, auf denen mit dieser Option schädliche Software ausgeführt werden kann. Wir wissen, dass es in unserer Verantwortung liegt, unsere Benutzer vor solchen Angriffen zu schützen. Wir arbeiten daran, diesen Exploit zu beheben", sagte das Unternehmen.

Zusätzlich zu weiteren Einschränkungen für $ rewrite kann Adblock Plus alle Filterlisten auf https beschränken, was derzeit für standardmäßig aktivierte Listen der Fall ist.

Sebastian sagte, das Risiko könne durch das Whitelisting bekannter Herkunft mit dem Internet gemindert werden connect-src CSP-Header oder durch Weglassen serverseitiger offener Weiterleitungen.

Das Register hat Google gebeten zu bestätigen, dass es sich hierbei nicht um ein Chrome-Sicherheitsproblem handelt, wir haben es jedoch noch nicht gehört.

Zu den Gründen, die Google für den umstrittenen Manifest v3-Plan zur Änderung der für Chrome-Erweiterungen verfügbaren APIs anführt, zählt die Sicherheit. Das Suchgeschäft konzentriert sich auf andere Themen als das Filtern von Vertrauensstellungen, beispielsweise das Ersetzen der webRequest-API, die Regeln im Browser (wo sie geändert werden können) statt in der JavaScript-Engine (wo festgelegte Regeln unverändert bleiben) auswertet. ®

LEAVE A REPLY

Please enter your comment!
Please enter your name here

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Must Read

Die Xbox der nächsten Generation wird noch leistungsfähiger als die PS5

Die erste echte Hardware, die für die Xbox-Konsole der nächsten Generation von Microsoft gehobelt wurde, war mit einer enormen Leistung ausgestattet, angeführt von AMDs...

Hepatitis Ein Ausbruch wächst weiter – WPEC

Hepatitis Ein Ausbruch von WPEC nimmt weiter zu Hepatitis Ein Ausbruch nimmt in Florida und Georgia WJXT News4JAX weiter zu Sorge wächst weiter über...

Hepatitis Ein Ausbruch wächst weiter – WPEC

Hepatitis Ein Ausbruch von WPEC nimmt weiter zuHepatitis Ein Ausbruch nimmt in Florida und Georgia WJXT News4JAX weiter zu Sorge wächst weiter über...

Rockets 'Capela kämpft mit 2 Atemwegserkrankungen

SALT LAKE CITY - Houston Rockets Center Clint Capela, der am Montag in der 107-91-Part-4-Niederlage gegen Utah Jazz am schlechtesten war, sagte gegenüber ESPN,...