قد تعرضك أدوات حظر الإعلانات للمتسللين بهذه الثغرة
يمكن استخدام مفتاح استغلال في أنظمة التصفية للأعمال الداخلية لـ Adblock و Adblock Plus و uBlock لإدخال التعليمات البرمجية في صفحات الويب التي يمكن أن تقطع بيانات الاعتماد الخاصة بك أو العبث بالجلسات أو حتى إعادة توجيه الصفحات.
هذه أخبار سيئة للمستخدمين ، ويقترح الباحث الأمني أرمين سيباستيان - الذي اكتشف الثغرة الأمنية - أن ما يصل إلى يمكن أن يتعرض 100 مليون مستخدم نشط شهريًا للخطر إذا استغل أي شخص الاستغلال ، الذي يبرزه سيباستيان "تافه."تعد قوائم الفلاتر جزءًا أساسيًا من برنامج adblock ، لأنها تسمح لمانع الإعلانات بالاحتفاظ بقائمة عناوين url الخبيثة أو المشبوهة أو المليئة بالإعلانات. يتيح تثبيت مانع الإعلانات لقوائم التصفية هذه القيام بالقيادة ، حيث يستخدم البرنامج القوائم لمنع تحميل محتوى معين.
متعلق ب: أفضل هواتف أندرويد
تم تقديم خيار التصفية مع إصدار Adblock Plus 3.2 مرة أخرى في يوليو 2018 ، ثم تم طرحه على Adblock و Adblock المملوك لـ uBlock.
هذا هو كل شيء حسن وجيد. ومع ذلك ، فإن خيار مرشح إعادة الكتابة بالدولار الذي تم تقديمه في أواخر العام الماضي يستخدمه العديد من أدوات منع الإعلانات لإزالة بيانات التتبع ومنع مواقع الويب من محاولة الالتفاف على برنامج حظر الإعلانات.
ومع ذلك ، يبدو أنه في بعض الأحيان يمكن إدخال تعليمات برمجية عشوائية عندما تقوم النطاقات بتحميل سلاسل JS باستخدام XMLHttpRequest أو ما تستخدمه Fetch لتنزيل مقتطفات التعليمات البرمجية للتنفيذ. يحتاج الاستغلال إلى هذين الأمرين ولكن أيضًا من أجلهما "يجب أن يكون لأصل الشفرة التي تم جلبها إعادة توجيه مفتوحة من جانب الخادم أو يجب أن يستضيف محتوى مستخدم عشوائيًا."
متعلق ب: أفضل هاتف iPhone 2019
لإظهار مثال على ذلك ، يقترح سيباستيان طريقة لاستخدام خرائط Google لعمل الاستغلال. عندما أبلغ Google عن هذا الاستغلال ، أوضح Google أنه كان سلوكًا مقصودًا ، وأن هذا السلوك هو خطأ برنامج حظر الإعلانات.
"الميزة تافهة لاستغلالها من أجل مهاجمة أي خدمة ويب معقدة بما فيه الكفاية ، بما في ذلك خدمات Google ، بينما يصعب اكتشاف الهجمات ويمكن نشرها في جميع المتصفحات الرئيسية " سيباستيان في منشور مدونة تفصيل الخلل.
ينصح بأن تقوم مجموعات حظر الإعلانات بإسقاط الدعم لوظيفة إعادة الكتابة بالدولار ، ولكن في هذه الأثناء ، يقترح على المستخدمين التخفيف من المخاطر التي يتعرضون لها باستخدام أصل uBlock، والتي لا تحتوي على وظيفة إعادة الكتابة $.
