• IT-Karriere:
  • Services:

Adblock Plus: Adblock-Filterregeln können Code ausführen

Unter bestimmten Voraussetzungen können Filterregeln für Adblocker mit einer neuen Funktion Javascript-Code in Webseiten einfügen. Adblock Plus will reagieren und die entsprechende Funktion wieder entfernen. Ublock Origin ist nicht betroffen.

Artikel von Hanno Böck veröffentlicht am
Eine neue Form von Filterregeln kann zum Sicherheitsrisiko für Werbeblocker werden.
Eine neue Form von Filterregeln kann zum Sicherheitsrisiko für Werbeblocker werden. (Bild: Pixabay/Pixabay License)

Verschiedene Werbeblocker sind durch eine neue Funktion für Filterregeln anfällig für Angriffe. Dabei müssen eine Reihe von Voraussetzungen zusammenkommen. Dem Softwareentwickler Armin Sebastian gelang es, einen Beispielangriff auf Webseiten von Google zu demonstrieren.

Stellenmarkt
  1. Schwarz Dienstleistung KG, Raum Neckarsulm
  2. WISKA Hoppmann GmbH, Kaltenkirchen

Adblocker arbeiten mit Filterlisten, die durch verschiedene Regeln den Inhalt von Webseiten beeinflussen können. Die Filterregeln sind allerdings in ihren Möglichkeiten beschränkt. Im Normalfall können sie zwar Inhalte aus Webseiten entfernen, sie sollten aber keine neuen Inhalte hinzufügen können und insbesondere auch keinen Code im Kontext von Webseiten ausführen.

Neue Filterfunktion erlaubt Umschreiben von URLs

Doch eine neue Filterfunktion, die im Juli 2018 in Adblock Plus eingeführt wurde, ermöglicht es, diese Beschränkungen zu umgehen. Mit den sogenannten Rewrite-Filterregeln können Filterlisten die URLs von HTTP-Anfragen umschreiben - allerdings nur innerhalb eines Hosts. Auch gibt es einige zusätzliche Sicherheitsbeschränkungen, so können etwa durch Script-Tags geladene Javascript-URLs nicht direkt umgeschrieben werden.

Doch Script-Tags sind nicht die einzige Möglichkeit, mit der Webseiten Javascript nachladen. Auf komplexeren Webseiten wird Javascript-Code oft dynamisch nachgeladen, etwa über die XMLHttpRequest-Funktion oder über die Fetch-API. Das ist etwa auf der Google-Webseite der Fall.

Damit ist es möglich, HTTP-Anfragen umzuschreiben, bei denen Javascript-Code geladen wird. Doch da das Umschreiben nur innerhalb eines Hosts funktioniert, braucht es einen weiteren Trick für einen Angriff. Dafür dienen Weiterleitungen. Auf den Google-Hosts ist es möglich, eine URL zu generieren, die auf eine beliebige externe URL weiterleitet.

Damit ist der Angriff komplett: Die Filterregel schreibt eine Anfrage, bei der Javascript nachgeladen wird, auf eine entsprechende Weiterleitung um. Diese leitet auf eine vom Angreifer kontrollierte URL um.

Der Entdecker der Lücke hatte den Angriff auch an Google gemeldet, das Unternehmen war aber der Ansicht, dass es sich um ein erwünschtes Verhalten der Google-Webseite handelt und der Fehler in den Adblock-Plugins liegt.

Bösartige Filterregeln können Account kontrollieren

Der gesamte Angriff basiert darauf, dass der Nutzer entweder Filterregeln installiert, deren Autor den Angriff durchführt, oder dass die Filterregeln bei der Übertragung manipuliert wurden. Letzteres ist möglich, wenn diese über HTTP und nicht über HTTPS geladen werden. Die meisten Filterregeln werden inzwischen über HTTPS ausgeliefert, einige nicht standardmäßig aktivierte Listen werden aber über unsicheres HTTP übertragen.

Bei einem Angriff kann dem Nutzer beliebiger Javascript-Code untergeschoben werden, der im Kontext der Webseite ausgeführt wird. In der Praxis bedeutet das, dass der Angreifer alle Aktionen, die ein Nutzer mit seinem Account durchführen kann, ebenfalls steuern kann. Es ist von den Auswirkungen vergleichbar mit einer Cross-Site-Scripting-Lücke.

Neben Adblock Plus unterstützen auch die Browsererweiterungen Adblock und Ublock entsprechende Rewrite-Filter, nicht jedoch Ublock Origin. Wir konnten den Angriff in unseren eigenen Tests mit allen drei Plugins nachvollziehen.

Ublock-Origin-Autor warnte schon vergangenes Jahr vor der neuen Funktion

In Ublock Origin wurde die entsprechende Funktion nie implementiert, daher funktioniert der Angriff dort nicht. Der Autor von Ublock Origin schrieb bereits im Mai vergangenen Jahres, dass er Sicherheitsbedenken bei diesem Feature hat und nicht plant, es in dieser Form umzusetzen.

Adblock Plus schreibt in einem Statement, dass man es für sehr unwahrscheinlich hält, dass der Angriff in der Praxis durchgeführt wird. Trotzdem will man reagieren. Adblock Plus hat angekündigt, die Rewrite-Filter in der nächsten Version wieder zu entfernen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 12,49€
  2. (-28%) 42,99€
  3. (-43%) 22,99€
  4. (-79%) 21,00€

Nurgler 25. Apr 2019

Ich nutze Adblock seit Jahren und habe keine Werbung. Vielleicht machst Du einfach was...

Cyrano_B 24. Apr 2019

das nutzt ja diverse Filterlisten... gibt es dort auch diese Möglichkeiten der Manipulation?

Hut+Burger 16. Apr 2019

Werbung kann mit sehr hoher Wahrscheinlichkeit Javascript-Code ausführen! Sogar von...


Folgen Sie uns
       


Warcraft 3 Classic und Warcraft 3 Reforged im Vergleich

Classic vs Reforged: Im Video vergleicht Golem.de die Grafik der ursprünglichen Fassung von Warcraft 3 mit der von Blizzard erstellten Neuauflage.

Warcraft 3 Classic und Warcraft 3 Reforged im Vergleich Video aufrufen
Verkehr: Das Kaltstart-Dilemma der Autos mit Hybridantrieb
Verkehr
Das Kaltstart-Dilemma der Autos mit Hybridantrieb

Bei Hybridautos und Plugin-Hybriden kommt es häufiger zu Kaltstarts als bei normalen Verbrennungsmotoren - wenn der Verbrennungsmotor ausgeht und der Elektromotor das Auto durch die Stadt schiebt. Wie schnell lässt sich der Katalysator vorwärmen, damit er Abgase dennoch gut reinigen kann?
Von Rainer Klose

  1. Renault City K-ZE Dacia plant City-Elektroauto
  2. Elektroautos EU-Kommission billigt höheren Umweltbonus
  3. Elektroauto Jaguar muss I-Pace-Produktion mangels Akkus pausieren

Geforce Now im Test: Nvidia nutzt einzigartige CPU und GPU
Geforce Now im Test
Nvidia nutzt einzigartige CPU und GPU

Wer mit Nvidias Geforce Now spielt, bekommt laut Performance Overlay eine RTX 2060c oder RTX 2080c, tatsächlich aber werden eine Tesla RTX T10 als Grafikkarte und ein Intel CC150 als Prozessor verwendet. Die Performance ist auf die jeweiligen Spiele abgestimmt, vor allem mit Raytracing.
Ein Test von Marc Sauter

  1. Cloud Gaming Activision Blizzard zieht Spiele von Geforce Now zurück
  2. Nvidia-Spiele-Streaming Geforce Now kostet 5,49 Euro pro Monat
  3. Geforce Now Nvidias Cloud-Gaming-Dienst kommt noch 2019 für Android

Mythic Quest: Spielentwickler im Schniedelstress
Mythic Quest
Spielentwickler im Schniedelstress

Zweideutige Zweckentfremdung von Ingame-Extras, dazu Ärger mit Hackern und Onlinenazis: Die Apple-TV-Serie Mythic Quest bietet einen interessanten, allerdings nur stellenweise humorvollen Einblick in die Spielebrache.
Eine Rezension von Peter Steinlechner

  1. Apple TV TVOS 13 mit Mehrbenutzer-Option erschienen

    •  /