Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Filterlijsten voor meerdere adblockers zijn te misbruiken voor code-injectie

Het is mogelijk code uit te voeren via de filterlijsten van verschillende populaire adblockers. Het gaat om een kwetsbaarheid in AdBlock, Adblock Plus en uBlock. Auteurs van de lijsten kunnen die manipuleren om websites om te leiden naar andere domeinen om zo scripts te injecteren.

De exploit zit in de $rewrite-functie die sinds vorig jaar in de filterlijsten van adblockers zit. De exploit werd ontdekt door beveiligingsonderzoeker Armin Sebastian. Hij publiceerde het lek op zijn website. Sebastian meldde het lek niet vooraf bij de makers 'vanwege de aard en de implicaties van het lek.' Hij wijst erop dat filterlijsten in het verleden zijn uitgebuit. UBlock Origin, een andere grote adblocker, gebruikt deze bewuste functie niet.

De rewrite-functie kan code op een website vervangen door eroverheen te schrijven. Normaal gesproken kan dat alleen met code die afkomstig is van hetzelfde domein, maar een beveiligingsonderzoeker ontdekte dat het in sommige gevallen mogelijk is om code van andere domeinen te injecteren. Dat kan malafide code zijn waarmee bijvoorbeeld inloggegevens kunnen worden gestolen.

Daarvoor moet een originele website wel aan een aantal voorwaarden voldoen. Zo moet de pagina JavaScript laden via XMLHttpRequest of Fetch en moeten er geen Content Security Policies actief zijn. De onderzoeker toont aan hoe hij dat via verschillende Google-websites zoals Maps kan doen. Ook is het nodig dat de code wordt toegevoegd aan een filterlijst die door de adblockers wordt gebruikt. Die filterlijsten worden gecontroleerd door de makers van de adblockers.

Eyeo, het bedrijf achter AdBlock Plus, zegt dat het het lek onderzoekt en dat het bedrijf werkt aan een oplossing. Volgens de softwaremaker is er voorlopig geen bewijs dat het lek is uitgebuit. "Dat is een onwaarschijnlijk scenario. We controleren iedereen die iets toevoegt aan de filterlijsten, en we controleren die lijsten zelf ook regelmatig."

Door Tijs Hofmans

Redacteur privacy & security

16-04-2019 • 11:09

45 Linkedin Google+

Reacties (45)

Wijzig sortering
AdblockPlus z'n reactie op dit artikel: https://twitter.com/AdblockPlus/status/1117892037078999040

https://adblockplus.org/b...url-rewrite-filter-option

Ook opvallend: de website van AdblockPlus is down bij mij op het moment van schrijven. http://adblockplus.org/

[Reactie gewijzigd door AnonymousWP op 16 april 2019 11:31]

"this functionality will be removed completely with the next update!"
Best, Laura from Adblock Plus
Dit is een goed punt, dat is in de toekomst zeker een overweging waard. In dit geval leek het me wat minder erg omdat het zo'n specifiek probleem is dat in de praktijk amper uit te buiten is dat het risico wel aanvaardbaar leek. Maar de discussie hoe je met dit soort (un)responsible disclosure moet omgaan is zeker belangrijk ja!
Hoe snel zijn die dns-servers? En wat doen ze met je data?

Want kan je wel trackers blocken, maar als je DNS-provider traag is en je data doorverkoopt, schiet je je doel voorbij.
Het is helemaal niet satirisch/spottend bedoeld. Een advertentienetwerk verkoopt sowieso geen advertenties maar advertentieruimte en dat is exact wat AdBlock Plus doet. Een advertentienetwerk heeft meestal ook geen eigen content maar is slechts de middleman tussen adverteerders (merken) enerzijds en publishers (eigenaren van websites) anderszijds. Dat is ook exact de middleman rol van AdBlock Plus.

Welke draai je er ook aan geeft: het is een advertentienetwerk. Wel een hele mooie waar een hoop concurrenten een voorbeeld aan kunnen nemen.
Het is natuurlijk wel ironisch dat een adblocker ook een advertentienetwerk is en omgekeerd. Maw juist geld verdienen aan advertentieruimte middels je adblocker. Maar als alle netwerken en de vele tussenpartijen zo zouden werken, zou de consument een stuk beter af zijn.

Maar als je puur alleen een adblocker zoekt, is daar uBlock Origin voor. Ik heb daarin zoveel dingen gewhitelist (oa enkele trackingpartijen etc) dat het voor mij prima werkt. Heb het graag zelf in de hand ipv dat ik met 1 vinkje alles doorlaat waar AdBlock Plus een deal mee heeft onderhandeld (Google!). Zo heb ik alles van Google, Facebook en enkele andere grote partijen niet gewhitelist.

[Reactie gewijzigd door Jazco2nd op 16 april 2019 11:50]

Op dit item kan niet meer gereageerd worden.


OnePlus 7 Pro (8GB intern) Microsoft Xbox One S All-Digital Edition LG OLED C9 Google Pixel 3a XL FIFA 19 Samsung Galaxy S10 Sony PlayStation 5 Consoles

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True