Hvis du bruger AdBlock, AdBlock Plus eller uBlock, du skal være opmærksom på, at en sikkerhedsekspert har opdaget en sårbarhed i deres filtersystemer.
Den smuthul kan give hackere mulighed for at indsprøjte vilkårlig kode på websider. Opdagelsen blev gjort ved sikkerhed forsker Armin Sebastian.
En ny version af Adblock Plus blev udgivet på juli 17, 2018. Version 3.2 indført et nyt filter mulighed for at omskrive anmodninger. En dag senere AdBlock fulgte trop og udgivet støtte til det nye filter indstilling. uBlock, ejes af AdBlock, også implementeret funktionen, forklarede Sebastian.
AdBlock, AdBlock Plus eller uBlock Exploit Forklaret
Hvad er sårbarheden over? Sårbarheden findes i version 3.2 af Adblock Plus software, som sidste år indførte et nyt filter mulighed for at omskrive anmodninger. Det ser ud til at, under specifikke betingelser, de $ omskrive filter indstilling aktiverer filter liste vedligeholderne med at indsprøjte vilkårlig kode på websider. Problemet er ikke kun, at de udvidelser har mere end 100 millioner aktive brugere, men også, at spørgsmålet er trivielt at udnytte.
Som forklaret af ham selv forskeren, webservices kan udnyttes ved hjælp af dette filter mulighed, når de bruger XMLHttpRequest eller Hent for at hente en kode her til udførelse, samtidig med at anmodninger til vilkårlige oprindelser og hosting en server-side åben omdirigering.
Endvidere, fordi udvidelser med jævne mellemrum opdatere filtre med mellemrum bestemt af filterliste operatører, angreb kan være svært at opdage. Operatøren kan fastsætte en kort udløbstid for ondsindet filterliste, som derefter vil erstattet med en godartet én. Desuden, både organisationer og enkeltpersoner kan målrettes baseret på IP-adresser, hvorfra opdateringerne er anmodet.
Der er flere forhold, der skal være opfyldt for en web-tjeneste, der skal udnyttes via sårbarhed i AdBlock. For eksempel, siden skal indlæse en JS snor ved hjælp XMLHttpRequest eller Hent og udføre den returnerede kode. Endvidere, siden bør ikke begrænse oprindelse, at det kan hente hjælp Content Security Policy direktiver, eller det skal ikke validere den endelige anmodning webadresse, før du udfører den downloadede kode.
og endelig, oprindelsen af den hentede koden skal have en server-side åben omdirigering eller det skal være vært for vilkårlige brugerindhold. Hvis disse er opfyldt, et angreb er mulig.
For at teste sårbarheden og se, hvordan det kan udnyttes, forskeren brugte Google Maps. Fordi tjenesten opfyldte kriterierne forklaret ovenfor, Sebastian held skrev exploit-kode.
De skridt, han anvendes, er følgende:
– Installer enten Adblock Plus, AdBlock eller uBlock i et nyt browser-profil
– Besøg muligheder for udvidelse og tilsæt eksempel filterliste, dette trin er beregnet til at simulere en ondsindet opdatering til en standard-filter liste
– Naviger til Google Maps
– En alarm med ”www.google.com” skulle dukke op efter et par sekunder
Gmail og Google Billeder også reagere på de betingelser og kan udnyttes via sårbarheden.
Forskeren kontaktede Google for at underrette dem om at udnytte, men rapporten blev lukket som ”Korrekt adfærd”. Det viser sig, at Google mener, at sårbarheden er til stede udelukkende i browserudvidelser. ”Dette er en uheldig afslutning, fordi den udnytter består af et sæt af browserudvidelse og web service sårbarheder, der er blevet lænket sammen,”Forskeren bemærkede, tilføjer, at Googles tjenester er ikke de eneste, der kan blive berørt.
Hvad med AdBlock? Ifølge Adblock Plus’ officiel erklæring, på trods af den faktiske risiko er meget lav, at selskabet har besluttet at fjerne omskrivning mulighed, og vil derfor frigive en opdateret version af Adblock Plus så snart det er teknisk muligt. Selskabet sagde også de laver dette som et mål for sikkerhedsforanstaltning.
Den gode nyhed er, at der ikke har været nogen forsøg på at misbruge den omskrivning valgmulighed. Som for afbødning, Whitelisting kendte oprindelser ved hjælp af forbinde-src CSP header, eller eliminere server-side åbne omdirigeringer bør gøre arbejdet.