Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Filterlijsten voor meerdere adblockers zijn te misbruiken voor code-injectie

Het is mogelijk code uit te voeren via de filterlijsten van verschillende populaire adblockers. Het gaat om een kwetsbaarheid in AdBlock, Adblock Plus en uBlock. Auteurs van de lijsten kunnen die manipuleren om websites om te leiden naar andere domeinen om zo scripts te injecteren.

De exploit zit in de $rewrite-functie die sinds vorig jaar in de filterlijsten van adblockers zit. De exploit werd ontdekt door beveiligingsonderzoeker Armin Sebastian. Hij publiceerde het lek op zijn website. Sebastian meldde het lek niet vooraf bij de makers 'vanwege de aard en de implicaties van het lek.' Hij wijst erop dat filterlijsten in het verleden zijn uitgebuit. UBlock Origin, een andere grote adblocker, gebruikt deze bewuste functie niet.

De rewrite-functie kan code op een website vervangen door eroverheen te schrijven. Normaal gesproken kan dat alleen met code die afkomstig is van hetzelfde domein, maar een beveiligingsonderzoeker ontdekte dat het in sommige gevallen mogelijk is om code van andere domeinen te injecteren. Dat kan malafide code zijn waarmee bijvoorbeeld inloggegevens kunnen worden gestolen.

Daarvoor moet een originele website wel aan een aantal voorwaarden voldoen. Zo moet de pagina JavaScript laden via XMLHttpRequest of Fetch en moeten er geen Content Security Policies actief zijn. De onderzoeker toont aan hoe hij dat via verschillende Google-websites zoals Maps kan doen. Ook is het nodig dat de code wordt toegevoegd aan een filterlijst die door de adblockers wordt gebruikt. Die filterlijsten worden gecontroleerd door de makers van de adblockers.

Eyeo, het bedrijf achter AdBlock Plus, zegt dat het het lek onderzoekt en dat het bedrijf werkt aan een oplossing. Volgens de softwaremaker is er voorlopig geen bewijs dat het lek is uitgebuit. "Dat is een onwaarschijnlijk scenario. We controleren iedereen die iets toevoegt aan de filterlijsten, en we controleren die lijsten zelf ook regelmatig."

Door Tijs Hofmans

Redacteur

16-04-2019 • 11:09

45 Linkedin Google+

Reacties (45)

Wijzig sortering
AdblockPlus z'n reactie op dit artikel: https://twitter.com/AdblockPlus/status/1117892037078999040

https://adblockplus.org/b...url-rewrite-filter-option

Ook opvallend: de website van AdblockPlus is down bij mij op het moment van schrijven. http://adblockplus.org/

[Reactie gewijzigd door AnonymousWP op 16 april 2019 11:31]

"this functionality will be removed completely with the next update!"
Best, Laura from Adblock Plus
Domme zet een artikel plaatsen voordat een lek gerepareerd is.
De criminelen zijn zeker na het lezen van artikel meteen aan de slag...
Dit is een goed punt, dat is in de toekomst zeker een overweging waard. In dit geval leek het me wat minder erg omdat het zo'n specifiek probleem is dat in de praktijk amper uit te buiten is dat het risico wel aanvaardbaar leek. Maar de discussie hoe je met dit soort (un)responsible disclosure moet omgaan is zeker belangrijk ja!
Het opent vooral de ogen van de beheerders van die lijsten om alert te zijn op dit soort exploits.

Het is een beetje alsof nu gewaarschuwd wordt dat er een achterdeur openstaat bij de bank. Daardoor kan de bank er nu een bewaker neerzetten, terwijl ze de deur repareren.

Anders had je security through obscurity, tot het moment dat de fix er was.
*Anders had de bank die bewaker, terwijl ze de kwetsbare kluis een update gaven waardoor er geen risico was. Na een paar dagen, na het uitrollen van die updates, wordt het publiek gemaakt zodat de laatste bank die te lui was nu wel moet updaten en de rest al veilig is.

Dat is hoe dit soort lekken melden werkt, je gaat niet direct publiek, je geeft ontwikkelaars de gelegenheid een quickfix/patch te deployen zodat het in de tussentijd niet misbruikt wordt, pas als het al actief misbruikt wordt zou je direct publiek kunnen gaan maar dat is hier niet het geval...
Ze konden ook bewakers bij de deur zetten, het dan gaan repareren en dan publiek maken. Dat heet responsible disclosure. Maar dan moet je als onderzoeker moeite gaan doen.
Het is nietecht een lek te noemen, je moet uberhaupt al vertrouwen hebben in de beheerder van de extentie en waar die de lijsten vandaan trekt, als die lijsten dan mogelijk kwetsbaar kunnen zijn kunnen hackers nogsteeds niks zonder langs de beheerder van de extentie te moeten komen, in princiepe is daarin dus niks veranderd met de openbaring.
Een goede start is de juiste DNS server te kiezen.

Op Android gebruik ik Blokada. Die app hebt verschillende host lists van spam domeinen.
Je kunt ook kiezen voor diverse DNS servers. Na wat testen blijkt dat de juiste DNS server prima werkt.
Bv Adguard DNS of de Familiy versie als je ook XXX wil blocken.
Niet perfect, maar omdat het geen extra resources gebruikt, een prima eerste stap.


Blokade werkt overigens ook op Windows icm BlueStacks

[Reactie gewijzigd door Frubelaar op 16 april 2019 12:35]

Hoe snel zijn die dns-servers? En wat doen ze met je data?

Want kan je wel trackers blocken, maar als je DNS-provider traag is en je data doorverkoopt, schiet je je doel voorbij.
Ik heb de DNS van Adguard een tijdje gebruikt op mijn telefoon en uit wat testjes bleek dat de snelheid beter was dan de standaard DNS adressen van KPN, maar iets langzamer dan 1.1.1.1 of Google DNS.
Verschilt natuurlijk ook heel erg per apparaat/verbinding dus een echt definitief antwoord kan je alleen vinden door het zelf in meerdere omstandigheden te testen.
Ik denk dat je Blokada bedoelt: AnonymousWP in 'nieuws: 'Malafide code in advertenties in Android-apps zuigt ...

Overigens gaan ze aan een nieuwe feature werken: https://block.blokada.org/post/2019/04/15/https-filtering/

[Reactie gewijzigd door AnonymousWP op 16 april 2019 12:09]

Ja SSL interceptie hebben wij ook hier. Het is een zeer moeilijk iets om te implementeren en er treden continue bizarre problemen op.
Z gaan het misschien enkel toepassen op de urls in hun lijsten, wat goed is.
Ublock Origin :Y)
De enige reden om een andere ad/tracking blocker te gebruiken is als je deze niet kent.

AdBlock Plus/Eyeo is eigenlijk gewoon een advertentienetwerk. Alleen de ads en tracking van partijen die hun betalen komt erdoorheen. Net zoals je een advertentienetwerk betaald om ads op hun content te tonen.
Dat argument is al zovaak naar voren gekomen, en ik blijf het herhalen. Dat is een opt-out (I know, geen opt-in, maar beter iets dan niets). Zelf gebruik ik ook al een tijd uBlock Origin, maar die optie is er dus wel, om geen gewhiteliste ads toe te laten.

https://blog.malwarebytes..._Settings.wm_-600x363.png

Trouwens, wel opvallend: de website van AdblockPlus is down bij mij op het moment van schrijven. http://adblockplus.org/

Verder heeft AdblockPlus 13 uur geleden iets gepost omtrent dit onderwerp! https://twitter.com/AdblockPlus/status/1117892037078999040

[Reactie gewijzigd door AnonymousWP op 16 april 2019 11:32]

Dat verandert toch niks aan mijn uitspraak? Elk advertentienetwerk heeft tegenwoordig een opt-out, zelfs een complete consent manager. Dan is het nog wel een advertentienetwerk.

Het is natuurlijk wel prettig dat ze een opt-out bieden. Maar het is net zo belangrijk om te weten wat hun business model is: advertentieruimte verkopen.
Wat? Ik denk dat jouw uitspraak over AdblockPlus, dat het een advertentienetwerk is, vooral spottend bedoeld/satirisch bedoeld is. Het is namelijk een advertentieblokker; ze verkopen zelf geen advertenties. Ze krijgen betaalt om bepaalde advertenties door te laten; dat is wat anders.

En ja, persoonlijk ook voor mij reden genoeg om naar uBlock Origin over te stappen, plus de vele meer filters en meer lightweight.

[Reactie gewijzigd door AnonymousWP op 16 april 2019 11:36]

Het is helemaal niet satirisch/spottend bedoeld. Een advertentienetwerk verkoopt sowieso geen advertenties maar advertentieruimte en dat is exact wat AdBlock Plus doet. Een advertentienetwerk heeft meestal ook geen eigen content maar is slechts de middleman tussen adverteerders (merken) enerzijds en publishers (eigenaren van websites) anderszijds. Dat is ook exact de middleman rol van AdBlock Plus.

Welke draai je er ook aan geeft: het is een advertentienetwerk. Wel een hele mooie waar een hoop concurrenten een voorbeeld aan kunnen nemen.
Het is natuurlijk wel ironisch dat een adblocker ook een advertentienetwerk is en omgekeerd. Maw juist geld verdienen aan advertentieruimte middels je adblocker. Maar als alle netwerken en de vele tussenpartijen zo zouden werken, zou de consument een stuk beter af zijn.

Maar als je puur alleen een adblocker zoekt, is daar uBlock Origin voor. Ik heb daarin zoveel dingen gewhitelist (oa enkele trackingpartijen etc) dat het voor mij prima werkt. Heb het graag zelf in de hand ipv dat ik met 1 vinkje alles doorlaat waar AdBlock Plus een deal mee heeft onderhandeld (Google!). Zo heb ik alles van Google, Facebook en enkele andere grote partijen niet gewhitelist.

[Reactie gewijzigd door Jazco2nd op 16 april 2019 11:50]

Ublock gebruiken is in essentie een slechte praktijk promoten, je moet maar eens wat googlen rond ublock vs ublock origin en het verhaal lezen erachter. Je zal rap Ublock origin willen gaan gebruiken. Komt er op neer da de huidige maintainer van Ublock een klootzak is.
Haha, oeps, ik bedoelde uBlock Origin, niet uBlock :p. Fout is snel gemaakt.
uBlock kan je gelukkig al niet zo makkelijk meer vinden, als je een adblocker zoekt in de Addon winkels zie je al snel uBlock Origin tevoorschijn komen.
ah ok, XD vond het al vreemd :D :9
Je blijft het herhalen zoals je zelf zegt. Maar wat ik me telkens afvraag: Waarom zou je een auto kopen die by default niet op klinkers kan rijden, als je ook een auto kunt kopen die dat by default wel kan?

Het heeft iets schimmigs. Ik ken genoeg mensen die de opt-out niet hebben ingesteld, omdat ze het niet doorhebben, of omdat deze na een browser-sync op een nieuwe computer weer uit staat. Het is een beetje net zoals dat Albert Heijn steeds een product dat niet in de aanbieding is tussen de aanbiedingproducten onder een aanbiedingbord plaatst.
Je kan ook stellen dat Eyeo actief probeert bij te dragen aan het terugdringen van negatieve ads om de gebruikerservaring te verbeteren en advertenties als bruikbaar verdienmodel wil creëren. Want terwijl het huidige ad-model onhoudbaar is, draagt het wel bij aan de reacties die wij hier zonder enige kosten kunnen typen.
Dat zouden ze kunnen doen, maar als je echt naar de whitelist zelf kijkt dan doen ze dat niet. Er zitten veel te veel dingen tussen die hevig "op het randje" zitten. Sedo (domain squatters met fullpage ads en geen daadwerkelijke content) en Taboola ("around the web" advertenties die vaak gewoon als content gestyled worden met maar een klein woordje "advertisement" erlangs) horen gewoon niet thuis op zo'n lijst. Die staan er al jaren op, er is in veelvoud over geklaagd op het forum, maar Eyeo vind het allemaal wel prima. Ik dus niet.

Plus, het kost grote bedrijven geld om op die lijst te komen, wat natuurlijk ook zo fout is als het maar kan. Dat komt voor mij veel te dicht in de buurt bij afpersing: "geef ons 20% of je krijgt 0%" is in feite de situatie op het moment (exacte bedragen zijn niet publiek maar de getallen die ik gehoord heb zijn 20-30% van de "acceptable ads" inkomsten). Daar wil ik geen bijdrage aan leveren.

Ik zie wel een toekomst voor het initiatief, maar het moet op een of andere manier onafhankelijk gebeuren, door een entiteit die er echt geen belang bij heeft om "nou ja dan doen we deze toch maar wel" te zeggen. Niet een bedrijf dat de richtlijnen net zo op lijkt te stellen dat ze er het meeste geld aan verdienen maar er toch nog net mee weg kunnen komen.
Als alternatief voor de addblockers is het blokkeren van hosts in de windows .hosts file ook erg efficiënt - hierdoor kan er niet eens verbinding worden gemaakt dus is 'blokkeren' van die advertenties niet nodig. Nu lukt dat niet altijd en draai ik ook Ublock origin ernaast, maar de hosts file edit is erg handig.

Er zijn een aantal versies van welke tweaks te maken, maar deze is in ieder geval één van de betrouwbaarste:
http://winhelp2002.mvps.org/hosts.htm

Hier komen ook netjes updates uit. in de .hosts file kun je bovendien zelf ook makkelijk (andere) websites te blokkeren indien nodig.

[Reactie gewijzigd door ZinQ op 16 april 2019 11:26]

Dat hosts bestand kun je ook gebruiken onder Linux.

Tegenwoordig gebruik ik zelf Pihole om trackers en advertenties te weren. Soms klagen gasten omdat Facebook en Google ook geblokkeerd worden op mijn wifinetwerk.

Door Pihole te combineren met OpenVPN heb ik vrijwel nooit advertenties meer. Ook niet op netwerken buitenshuis.
Ja, hier op het gastennetwerk ook Pihole werkend en sommige gasten willen klikken op gesponsorde links en dat werkt dan niet. Komen ze klagen of met vragen dan leg ik ze uit dat ze iets verder naar beneden moeten scrollen voorbij de gesponsorde links en hetzelfde kunnen vinden, zonder dat ze door Google nog in de gaten worden gehouden. Hebben ze weer wat geleerd en meestal zeer dankbaar en weer wat wijzer over hun privacy.
Goede keuze!
De vraag is alleen wat beter is OpenVPN of Quad9. Ik heb de laatste, na heel veel jaren OpenVPN gebruik, iets hoger staan.
Maar als er iets nieuws/slechts in het nieuws komt zie ik beiden niet erg snel reageren. Gelukkig heeft Pihole een blacklist/regex waar je de bezorgdheid kwijt kan |:(

[Reactie gewijzigd door pe0mot op 16 april 2019 11:52]

Dat hosts bestand kun je ook gebruiken onder Linux.
Klopt. De hosts file is een mooie aanvulling op adblockers en andere add-ons en is makkelijk om zelf te beheren. Mijn hosts bevat momenteel meer dan 2600 domeinen, waaronder lijsten om coinminers, Facebook, Microsoft, Google (grotendeels) en een hele rits advertentiedomeinen te blocken.
Nadeel van je HOSTfile is dat je niet even gemakkelijk wat kan toevoegen; iets dat je met een browserplugin wel kan.

Mijn HOST file is vanuit hen redelijk up to date. Heb er zelf nog wat zaken aan toegevoegd (waaronder alles wat met Facebook te maken heeft). Maar een browserplugin blijft noodzakelijk; de HOST houdt niet alles tegen helaas.

De combinatie van HOST file, AdblockPlus, µblock, NoScript em Ghostery zorgt er bij mij voor dat het internet vrij is van reclames (al heb ik wel een paar sites gewhitelist). AdblockPlus of enkel µblock lijkt niet voldoende; zelfde geldt voor enkel Ghostery of NoScript; er glipt er bij de één altijd wel iets door wat de ander dan alsnog blokkeert.
Als een site die je wil bezoeken geen HSTS gebruikt of voor de eerste keer bezocht wordt (HSTS preloading wordt maar weinig gebruikt) ben je met zo'n hosts file even kwetsbaar voor een kwaadaardige blocklist als de genoemde adblockers dat waren. De hosts file kan immers regels bevatten die een IP van een kwaadaardige site verbindt aan de DNS naam die je wil bezoeken.

Gezien je link naar hun site al geen https gebruikt denk ik niet dat die hosts file verspreider zijn veiligheid op orde heeft.
Volgens de softwaremaker is er voorlopig geen bewijs dat het lek is uitgebuit. "Dat is een onwaarschijnlijk scenario. We controleren iedereen die iets toevoegt aan de filterlijsten en we controleren die lijsten zelf ook regelmatig."
Regelmatig != constant. Het probleem hierbij is dat een malafide persoon maar even snel iets toe hoeft te voegen aan de daadwerkelijke lijst om al direct een effect te hebben op gigantisch veel apparaten. Misschien is het alsnog een onwaarschijnlijk scenario, maar in ieder geval niet vanwege de redenering die hier gesteld wordt.
Wie mag bij die lijsten, is dan de vraag. Neem aan dat dat niet zomaar iedereen is, maar dat er, net als bij bijvoorbeeld open source code, een eigenaar is, die uiteindelijk alle commits doet.

Moet eerlijk zeggen dat ondanks dat ik wel adblockers gebruik, dat dat weer iets is waar ik zelf eigenlijk weinig aandacht voor heb. Daar vertrouw ik de tussenpersoon dan maar.
Je hebt volledig gelijk, al zal er uiteindelijk iemand zijn die de volledige controle heeft over die laatste locatie waar de lijsten komen te staan. En als die persoon het aanpast is het al klaar. Maar goed, dat wil natuurlijk niet zeggen dat dat ook gebeurt, zoals je zelf zegt is er wel enig vertrouwen wat mensen in de beheerders van die blocklijsten wat ook niet zonder reden zal zijn.
Ik neem aan dat Pi-Hole niet vatbaar is voor deze exploit, omdat het geen browser based plugin is? Of is dit iets waar ook Pi-Hole gebruikers zich zorgen om moeten maken?
Pi-Hole filtert alleen DNS requests waardoor rewrites niet mogelijk zijn.

browser-addons en ad blockers die de hele verbinding filteren zijn wel vatbaar, maar dan zit het gevaar in de hoeveelheid controle.
zolang de maker van de adblocker de lijsten controleert voor dat dit naar gebruikers gaat is er niets aan de hand.
Hoe zit het met het niet genoemde AdGuard?
Daarom gewoon meerdere adblockers draaien
Ze gebruiken allemaal dezelfde lijsten, dus het enige wat je bereikt is een verhoogd resource gebruik, zonder daar ook maar iets voor terug te krijgen. Gewoon uBlock Origin gebruiken, meer adblockers heb je niet nodig. Ik zou wel nog Disconnect er naast installeren. En uMatrix, maar dan gaan de meeste websites wel stuk en ben je altijd bezig met pleisters plakken. :P
Hoeveel draai je adblockers? :P
3 of 5 of 7 adblockers?

Op dit item kan niet meer gereageerd worden.


OnePlus 7 Pro (8GB intern) Microsoft Xbox One S All-Digital Edition LG OLED C9 Google Pixel 3a XL FIFA 19 Samsung Galaxy S10 Sony PlayStation 5 Smartphones

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True