Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Filterlijsten voor meerdere adblockers zijn te misbruiken voor code-injectie

Het is mogelijk code uit te voeren via de filterlijsten van verschillende populaire adblockers. Het gaat om een kwetsbaarheid in AdBlock, Adblock Plus en uBlock. Auteurs van de lijsten kunnen die manipuleren om websites om te leiden naar andere domeinen om zo scripts te injecteren.

De exploit zit in de $rewrite-functie die sinds vorig jaar in de filterlijsten van adblockers zit. De exploit werd ontdekt door beveiligingsonderzoeker Armin Sebastian. Hij publiceerde het lek op zijn website. Sebastian meldde het lek niet vooraf bij de makers 'vanwege de aard en de implicaties van het lek.' Hij wijst erop dat filterlijsten in het verleden zijn uitgebuit. UBlock Origin, een andere grote adblocker, gebruikt deze bewuste functie niet.

De rewrite-functie kan code op een website vervangen door eroverheen te schrijven. Normaal gesproken kan dat alleen met code die afkomstig is van hetzelfde domein, maar een beveiligingsonderzoeker ontdekte dat het in sommige gevallen mogelijk is om code van andere domeinen te injecteren. Dat kan malafide code zijn waarmee bijvoorbeeld inloggegevens kunnen worden gestolen.

Daarvoor moet een originele website wel aan een aantal voorwaarden voldoen. Zo moet de pagina JavaScript laden via XMLHttpRequest of Fetch en moeten er geen Content Security Policies actief zijn. De onderzoeker toont aan hoe hij dat via verschillende Google-websites zoals Maps kan doen. Ook is het nodig dat de code wordt toegevoegd aan een filterlijst die door de adblockers wordt gebruikt. Die filterlijsten worden gecontroleerd door de makers van de adblockers.

Eyeo, het bedrijf achter AdBlock Plus, zegt dat het het lek onderzoekt en dat het bedrijf werkt aan een oplossing. Volgens de softwaremaker is er voorlopig geen bewijs dat het lek is uitgebuit. "Dat is een onwaarschijnlijk scenario. We controleren iedereen die iets toevoegt aan de filterlijsten, en we controleren die lijsten zelf ook regelmatig."

Door Tijs Hofmans

Redacteur privacy & security

16-04-2019 • 11:09

45 Linkedin Google+

Reacties (45)

Wijzig sortering
Het is nietecht een lek te noemen, je moet uberhaupt al vertrouwen hebben in de beheerder van de extentie en waar die de lijsten vandaan trekt, als die lijsten dan mogelijk kwetsbaar kunnen zijn kunnen hackers nogsteeds niks zonder langs de beheerder van de extentie te moeten komen, in princiepe is daarin dus niks veranderd met de openbaring.
Ja SSL interceptie hebben wij ook hier. Het is een zeer moeilijk iets om te implementeren en er treden continue bizarre problemen op.
Z gaan het misschien enkel toepassen op de urls in hun lijsten, wat goed is.
Je blijft het herhalen zoals je zelf zegt. Maar wat ik me telkens afvraag: Waarom zou je een auto kopen die by default niet op klinkers kan rijden, als je ook een auto kunt kopen die dat by default wel kan?

Het heeft iets schimmigs. Ik ken genoeg mensen die de opt-out niet hebben ingesteld, omdat ze het niet doorhebben, of omdat deze na een browser-sync op een nieuwe computer weer uit staat. Het is een beetje net zoals dat Albert Heijn steeds een product dat niet in de aanbieding is tussen de aanbiedingproducten onder een aanbiedingbord plaatst.
Dat zouden ze kunnen doen, maar als je echt naar de whitelist zelf kijkt dan doen ze dat niet. Er zitten veel te veel dingen tussen die hevig "op het randje" zitten. Sedo (domain squatters met fullpage ads en geen daadwerkelijke content) en Taboola ("around the web" advertenties die vaak gewoon als content gestyled worden met maar een klein woordje "advertisement" erlangs) horen gewoon niet thuis op zo'n lijst. Die staan er al jaren op, er is in veelvoud over geklaagd op het forum, maar Eyeo vind het allemaal wel prima. Ik dus niet.

Plus, het kost grote bedrijven geld om op die lijst te komen, wat natuurlijk ook zo fout is als het maar kan. Dat komt voor mij veel te dicht in de buurt bij afpersing: "geef ons 20% of je krijgt 0%" is in feite de situatie op het moment (exacte bedragen zijn niet publiek maar de getallen die ik gehoord heb zijn 20-30% van de "acceptable ads" inkomsten). Daar wil ik geen bijdrage aan leveren.

Ik zie wel een toekomst voor het initiatief, maar het moet op een of andere manier onafhankelijk gebeuren, door een entiteit die er echt geen belang bij heeft om "nou ja dan doen we deze toch maar wel" te zeggen. Niet een bedrijf dat de richtlijnen net zo op lijkt te stellen dat ze er het meeste geld aan verdienen maar er toch nog net mee weg kunnen komen.
Goede keuze!
De vraag is alleen wat beter is OpenVPN of Quad9. Ik heb de laatste, na heel veel jaren OpenVPN gebruik, iets hoger staan.
Maar als er iets nieuws/slechts in het nieuws komt zie ik beiden niet erg snel reageren. Gelukkig heeft Pihole een blacklist/regex waar je de bezorgdheid kwijt kan |:(

[Reactie gewijzigd door pe0mot op 16 april 2019 11:52]

Dat hosts bestand kun je ook gebruiken onder Linux.
Klopt. De hosts file is een mooie aanvulling op adblockers en andere add-ons en is makkelijk om zelf te beheren. Mijn hosts bevat momenteel meer dan 2600 domeinen, waaronder lijsten om coinminers, Facebook, Microsoft, Google (grotendeels) en een hele rits advertentiedomeinen te blocken.
Als een site die je wil bezoeken geen HSTS gebruikt of voor de eerste keer bezocht wordt (HSTS preloading wordt maar weinig gebruikt) ben je met zo'n hosts file even kwetsbaar voor een kwaadaardige blocklist als de genoemde adblockers dat waren. De hosts file kan immers regels bevatten die een IP van een kwaadaardige site verbindt aan de DNS naam die je wil bezoeken.

Gezien je link naar hun site al geen https gebruikt denk ik niet dat die hosts file verspreider zijn veiligheid op orde heeft.

Op dit item kan niet meer gereageerd worden.


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Formule 1

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True