Adblock Plus: Adblock-Filterregeln können Code ausführen

Unter bestimmten Voraussetzungen können Filterregeln für Adblocker mit einer neuen Funktion Javascript-Code in Webseiten einfügen. Adblock Plus will reagieren und die entsprechende Funktion wieder entfernen. Ublock Origin ist nicht betroffen.

Artikel von Hanno Böck veröffentlicht am
Eine neue Form von Filterregeln kann zum Sicherheitsrisiko für Werbeblocker werden.
Eine neue Form von Filterregeln kann zum Sicherheitsrisiko für Werbeblocker werden. (Bild: Pixabay/Pixabay License)

Verschiedene Werbeblocker sind durch eine neue Funktion für Filterregeln anfällig für Angriffe. Dabei müssen eine Reihe von Voraussetzungen zusammenkommen. Dem Softwareentwickler Armin Sebastian gelang es, einen Beispielangriff auf Webseiten von Google zu demonstrieren.

Stellenmarkt
  1. IT-Systemadministrator (m/w/d)
    Stadt Nürtingen, Nürtingen
  2. Informatikerin / Informatiker (w/m/d) für Data Center Infrastruktur am Zentrum für Informationstechnologie ... (m/w/d)
    Universität Passau, Passau
Detailsuche

Adblocker arbeiten mit Filterlisten, die durch verschiedene Regeln den Inhalt von Webseiten beeinflussen können. Die Filterregeln sind allerdings in ihren Möglichkeiten beschränkt. Im Normalfall können sie zwar Inhalte aus Webseiten entfernen, sie sollten aber keine neuen Inhalte hinzufügen können und insbesondere auch keinen Code im Kontext von Webseiten ausführen.

Neue Filterfunktion erlaubt Umschreiben von URLs

Doch eine neue Filterfunktion, die im Juli 2018 in Adblock Plus eingeführt wurde, ermöglicht es, diese Beschränkungen zu umgehen. Mit den sogenannten Rewrite-Filterregeln können Filterlisten die URLs von HTTP-Anfragen umschreiben - allerdings nur innerhalb eines Hosts. Auch gibt es einige zusätzliche Sicherheitsbeschränkungen, so können etwa durch Script-Tags geladene Javascript-URLs nicht direkt umgeschrieben werden.

Doch Script-Tags sind nicht die einzige Möglichkeit, mit der Webseiten Javascript nachladen. Auf komplexeren Webseiten wird Javascript-Code oft dynamisch nachgeladen, etwa über die XMLHttpRequest-Funktion oder über die Fetch-API. Das ist etwa auf der Google-Webseite der Fall.

Golem Akademie
  1. CEH Certified Ethical Hacker v11
    8.-12. November 2021, online
  2. Kotlin für Java-Entwickler
    14.-15. Oktober 2021, online
  3. Linux-Systeme absichern und härten
    8.-10. November 2021, online
Weitere IT-Trainings

Damit ist es möglich, HTTP-Anfragen umzuschreiben, bei denen Javascript-Code geladen wird. Doch da das Umschreiben nur innerhalb eines Hosts funktioniert, braucht es einen weiteren Trick für einen Angriff. Dafür dienen Weiterleitungen. Auf den Google-Hosts ist es möglich, eine URL zu generieren, die auf eine beliebige externe URL weiterleitet.

Damit ist der Angriff komplett: Die Filterregel schreibt eine Anfrage, bei der Javascript nachgeladen wird, auf eine entsprechende Weiterleitung um. Diese leitet auf eine vom Angreifer kontrollierte URL um.

Der Entdecker der Lücke hatte den Angriff auch an Google gemeldet, das Unternehmen war aber der Ansicht, dass es sich um ein erwünschtes Verhalten der Google-Webseite handelt und der Fehler in den Adblock-Plugins liegt.

Bösartige Filterregeln können Account kontrollieren

Der gesamte Angriff basiert darauf, dass der Nutzer entweder Filterregeln installiert, deren Autor den Angriff durchführt, oder dass die Filterregeln bei der Übertragung manipuliert wurden. Letzteres ist möglich, wenn diese über HTTP und nicht über HTTPS geladen werden. Die meisten Filterregeln werden inzwischen über HTTPS ausgeliefert, einige nicht standardmäßig aktivierte Listen werden aber über unsicheres HTTP übertragen.

Bei einem Angriff kann dem Nutzer beliebiger Javascript-Code untergeschoben werden, der im Kontext der Webseite ausgeführt wird. In der Praxis bedeutet das, dass der Angreifer alle Aktionen, die ein Nutzer mit seinem Account durchführen kann, ebenfalls steuern kann. Es ist von den Auswirkungen vergleichbar mit einer Cross-Site-Scripting-Lücke.

Neben Adblock Plus unterstützen auch die Browsererweiterungen Adblock und Ublock entsprechende Rewrite-Filter, nicht jedoch Ublock Origin. Wir konnten den Angriff in unseren eigenen Tests mit allen drei Plugins nachvollziehen.

Ublock-Origin-Autor warnte schon vergangenes Jahr vor der neuen Funktion

In Ublock Origin wurde die entsprechende Funktion nie implementiert, daher funktioniert der Angriff dort nicht. Der Autor von Ublock Origin schrieb bereits im Mai vergangenen Jahres, dass er Sicherheitsbedenken bei diesem Feature hat und nicht plant, es in dieser Form umzusetzen.

Adblock Plus schreibt in einem Statement, dass man es für sehr unwahrscheinlich hält, dass der Angriff in der Praxis durchgeführt wird. Trotzdem will man reagieren. Adblock Plus hat angekündigt, die Rewrite-Filter in der nächsten Version wieder zu entfernen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Nurgler 25. Apr 2019

Ich nutze Adblock seit Jahren und habe keine Werbung. Vielleicht machst Du einfach was...

Cyrano_B 24. Apr 2019

das nutzt ja diverse Filterlisten... gibt es dort auch diese Möglichkeiten der Manipulation?

Hut+Burger 16. Apr 2019

Werbung kann mit sehr hoher Wahrscheinlichkeit Javascript-Code ausführen! Sogar von...



Aktuell auf der Startseite von Golem.de
Drucker
Ohne Tinte kein Scan - Klage gegen Canon

In den USA wurde eine Sammelklage gegen Canon eingereicht: Klagegrund ist, dass einige 3-in-1-Geräte nur scannen, wenn Tinte vorhanden ist.

Drucker: Ohne Tinte kein Scan - Klage gegen Canon
Artikel
  1. Microsoft: Xbox-Kühlschrank kostet 100 Euro
    Microsoft
    Xbox-Kühlschrank kostet 100 Euro

    Microsoft bringt wie angekündigt einen Minikühlschrank im Design der Xbox Series X auf den Markt, der auch nach Deutschland kommen wird.

  2. Silicon Valley: Apple entlässt #Appletoo-Aktivistin
    Silicon Valley
    Apple entlässt #Appletoo-Aktivistin

    Apple hat Janneke Parrish gekündigt, die sich für die Offenlegung von Diskriminierung in dem Unternehmen einsetzte. Auch Netflix entlässt offenbar eine Aktivistin.

  3. Streaming: Squid Game soll Netflix 900 Millionen US-Dollar bringen
    Streaming
    Squid Game soll Netflix 900 Millionen US-Dollar bringen

    Die südkoreanische Serie Squid Game ist dabei, sich zu Netflix' größtem Erfolg zu entwickeln: Die Survival-Serie bricht mehrere Rekorde.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Week: Bis zu 37% Rabatt auf Corsair-Produkte • Mehrwertsteuer-Aktion bei MediaMarkt • Crucial BX500 1 TB 69€ • Aerocool Aero One White 41,98€ • Creative Sound BlasterX G5 89,99€ • Alternate (u. a. AKRacing Core SX 248,99€) • Gamesplanet Anniv. Sale Classic & Retro [Werbung]
    •  /