Werbeblocker könnten Sie mit diesem Exploit Hackern aussetzen
Ein Exploit in den Filtersystemen, der für das Innenleben von Adblock, Adblock Plus und uBlock von entscheidender Bedeutung ist, könnte verwendet werden um Code in Webseiten einzufügen, der Ihre Anmeldeinformationen einklemmen, Sitzungen manipulieren oder sogar Seiten umleiten könnte.
Dies sind schlechte Nachrichten für Benutzer, und der Sicherheitsforscher Armin Sebastian, der die Sicherheitsanfälligkeit festgestellt hat, schlägt vor, dass so viele wie möglich 100 Millionen aktive Benutzer pro Monat könnten gefährdet sein, wenn jemand den Exploit nutzen würde, den Sebastian hervorhebt "trivial."Filterlisten sind ein zentraler Bestandteil der Adblock-Software, da sie es Werbeblockern ermöglichen, eine Liste mit böswilligen, verdächtigen oder werbefinanzierten URLs zu führen. Durch die Installation eines Werbeblockers können diese Filterlisten das Fahren übernehmen, da die Software die Listen verwendet, um das Laden bestimmter Inhalte zu blockieren.
Verbunden: Beste Android-Handys
Die Filteroption wurde mit der Veröffentlichung von Adblock Plus 3.2 im Juli 2018 eingeführt und dann auf Adblock und den Adblock-eigenen uBlock eingeführt.
Das ist alles schön und gut. Die Ende letzten Jahres eingeführte Filteroption $ rewrite wird jedoch von mehreren Werbeblockern verwendet, um Tracking-Daten zu entfernen und zu verhindern, dass Websites versuchen, die Werbeblocker-Software zu umgehen.
Es scheint jedoch, dass manchmal beliebiger Code eingefügt werden kann, wenn Domänen JS-Zeichenfolgen mithilfe von XMLHttpRequest laden oder wenn sie Fetch verwenden, um Codefragmente zur Ausführung herunterzuladen. Der Exploit braucht beides, aber auch für "Der Ursprung des abgerufenen Codes muss eine serverseitige offene Umleitung haben oder er muss beliebigen Benutzerinhalt hosten."
Verbunden: Bestes iPhone 2019
Um ein Beispiel dafür zu zeigen, schlägt Sebastian eine Möglichkeit vor, Google Maps zu verwenden, um den Exploit auszuführen. Als er Google diesen Exploit meldete, erklärte Google, dass es sich um ein beabsichtigtes Verhalten handele und dass das Verhalten auf die Werbeblocker-Software zurückzuführen sei.
„Die Funktion ist trivial zu nutzen, um ausreichend komplexe Webdienste anzugreifen, einschließlich Google-Dienste sind zwar schwer zu erkennen und können in allen gängigen Browsern eingesetzt werden “, sagt Google Sebastian in einem Blogbeitrag Detaillierung des Fehlers.
Er rät, dass die Anzeigenblockierungs-Outfits die Unterstützung für die $ rewrite-Funktion einstellen, schlägt jedoch in der Zwischenzeit vor, dass Benutzer das Risiko für sich selbst durch die Verwendung verringern uBlock Origin, die die $ rewrite-Funktion nicht enthält.
