Tetszőleges kódfuttatást is lehetővé tesz az Adblock Plus biztonsági hibája
A sérülékenység a mezei Adblockot és a uBlockot is érinti, a biztonsági rést felfedező szakértő azt javasolja, aki lehet kerülje a sebezhető reklámblokkolók használatát.
Súlyos biztonsági rés bukkant fel az Adblock Plusban: a népszerű hirdetésblokkoló biztonsági hibáját kihasználva rosszindulatú feleknek akár tetszőleges kódfuttatásra is lehetőségük nyílnak az éppen látogatott weboldalon.
A sérülékenységet Armin Sebastian biztonsági szakértő fedezte fel, akinek blogposztja szerint egy a hirdetésblokkolóban - és az ugyanazon vállalat alá tartozó Adblockban és uBlockban is - elérhető új szűrőopció áll a sebezhetőség mögött. Egész pontosan a "$rewrite" opcióról van szó, amely a szakértő szerint bizonyos körülmények között lehetővé teszi, hogy az adott szűrőlista kezelői potenciálisan kártékony kódot fecskendezzenek weboldalakba. Az érintett kiegészítőknek összesen több mint 100 millió aktív felhasználója van.
Ahogy Sebastian fogalmaz, a sérülékenységet "triviális" kihasználni - az azzal véghez vitt támadások detektálása viszont nem könnyű. A $rewrite opciót egyes hirdetésblokkolók a követési adatok eltávolítására, illetve a reklámokra vonatkozó lekérések átirányítására használják. Az opcióval a kódsnippetek letöltésére és futtatására XMLHttpRequestet vagy Fetch-et használó webes szolgáltatások téríthetők el, lényegében tetszőleges címre mutató lekérdezésekkel. Ráadásul miután a hasonló böngészőkiegészítők a szűrőlisták kezelői által kijelölt időközönként frissítik szűrőiket, amennyiben ezt az időt a kártékony listánál rövidre fogják, az a támadások beazonosítását is nagyban megnehezíti, hiszen a frissítéssel gyorsan ártatlan filterekre cserélhetők a rosszindulatú szűrők.
Nyerd meg az 5 darab, 1000 eurós Craft konferenciajegy egyikét! A kétnapos, nemzetközi fejlesztői konferencia apropójából a HWSW kraftie nyereményjátékot indít.
A sebezhetőség kihasználásához bizonyos feltételeknek az adott oldal is meg kell feleljen, egyebek mellett a már említett XMLHttpRequest vagy Fetch segítségével kell betöltenie JavaScript stringeket, illetve futtatnia a kódot, továbbá az oldal nem szabad hogy külön validálja az utolsó lekérési URL-t a letöltött kód futtatását megelőzően.
A biztonsági szakértő szerint módszerrel többek között a Gmail, illetve a Google Images is támadható - a kutató jelezte is az ügyet a Google felé, a keresőóriás azonban végül nem fordított arra különösebb figyelmet, mondván, a probléma nem saját szolgáltatásaiban gyökerezik. Sebastian szerint ugyanakkor miután a sérülékenység kiaknázásához több feltételnek a vállalat oldalán is teljesülnie kell, a Google-nek (és más érintett online szolgáltatások üzemeltetőinek) is érdemes lenne legalább foglalkoznia a biztonsági réssel.
A szakétő arra is kitér, a hirdetésblokkolók fejlesztőinek meg kellene szüntetniük a $rewrite támogatását, azzal ugyanis valamilyen szinten mindig lehetőség lesz visszaélni, még ha csak egy-egy kép megváltoztatására is az egyes oldalakon. A kutató a felhasználóknak a fenti hirdetésblokkolók lecserélését javasolja, olyan alternatívákra, mint a uBlock Origin. Az Adblock és holdudvara egyébként nem most kerül először tűz alá, korábban már komoly botrányba is belefutott amiatt, hogy fizetségért cserébe átengedett bizonyos reklámokat a szűrőin.