Abo
  • IT-Karriere:

Adblock Plus: Adblock-Filterregeln können Code ausführen

Unter bestimmten Voraussetzungen können Filterregeln für Adblocker mit einer neuen Funktion Javascript-Code in Webseiten einfügen. Adblock Plus will reagieren und die entsprechende Funktion wieder entfernen. Ublock Origin ist nicht betroffen.

Artikel von Hanno Böck veröffentlicht am
Eine neue Form von Filterregeln kann zum Sicherheitsrisiko für Werbeblocker werden.
Eine neue Form von Filterregeln kann zum Sicherheitsrisiko für Werbeblocker werden. (Bild: Pixabay/Pixabay License)

Verschiedene Werbeblocker sind durch eine neue Funktion für Filterregeln anfällig für Angriffe. Dabei müssen eine Reihe von Voraussetzungen zusammenkommen. Dem Softwareentwickler Armin Sebastian gelang es, einen Beispielangriff auf Webseiten von Google zu demonstrieren.

Stellenmarkt
  1. Radeberger Gruppe KG, Frankfurt am Main
  2. ManpowerGroup Deutschland GmbH & Co. KG, Kiel

Adblocker arbeiten mit Filterlisten, die durch verschiedene Regeln den Inhalt von Webseiten beeinflussen können. Die Filterregeln sind allerdings in ihren Möglichkeiten beschränkt. Im Normalfall können sie zwar Inhalte aus Webseiten entfernen, sie sollten aber keine neuen Inhalte hinzufügen können und insbesondere auch keinen Code im Kontext von Webseiten ausführen.

Neue Filterfunktion erlaubt Umschreiben von URLs

Doch eine neue Filterfunktion, die im Juli 2018 in Adblock Plus eingeführt wurde, ermöglicht es, diese Beschränkungen zu umgehen. Mit den sogenannten Rewrite-Filterregeln können Filterlisten die URLs von HTTP-Anfragen umschreiben - allerdings nur innerhalb eines Hosts. Auch gibt es einige zusätzliche Sicherheitsbeschränkungen, so können etwa durch Script-Tags geladene Javascript-URLs nicht direkt umgeschrieben werden.

Doch Script-Tags sind nicht die einzige Möglichkeit, mit der Webseiten Javascript nachladen. Auf komplexeren Webseiten wird Javascript-Code oft dynamisch nachgeladen, etwa über die XMLHttpRequest-Funktion oder über die Fetch-API. Das ist etwa auf der Google-Webseite der Fall.

Damit ist es möglich, HTTP-Anfragen umzuschreiben, bei denen Javascript-Code geladen wird. Doch da das Umschreiben nur innerhalb eines Hosts funktioniert, braucht es einen weiteren Trick für einen Angriff. Dafür dienen Weiterleitungen. Auf den Google-Hosts ist es möglich, eine URL zu generieren, die auf eine beliebige externe URL weiterleitet.

Damit ist der Angriff komplett: Die Filterregel schreibt eine Anfrage, bei der Javascript nachgeladen wird, auf eine entsprechende Weiterleitung um. Diese leitet auf eine vom Angreifer kontrollierte URL um.

Der Entdecker der Lücke hatte den Angriff auch an Google gemeldet, das Unternehmen war aber der Ansicht, dass es sich um ein erwünschtes Verhalten der Google-Webseite handelt und der Fehler in den Adblock-Plugins liegt.

Bösartige Filterregeln können Account kontrollieren

Der gesamte Angriff basiert darauf, dass der Nutzer entweder Filterregeln installiert, deren Autor den Angriff durchführt, oder dass die Filterregeln bei der Übertragung manipuliert wurden. Letzteres ist möglich, wenn diese über HTTP und nicht über HTTPS geladen werden. Die meisten Filterregeln werden inzwischen über HTTPS ausgeliefert, einige nicht standardmäßig aktivierte Listen werden aber über unsicheres HTTP übertragen.

Bei einem Angriff kann dem Nutzer beliebiger Javascript-Code untergeschoben werden, der im Kontext der Webseite ausgeführt wird. In der Praxis bedeutet das, dass der Angreifer alle Aktionen, die ein Nutzer mit seinem Account durchführen kann, ebenfalls steuern kann. Es ist von den Auswirkungen vergleichbar mit einer Cross-Site-Scripting-Lücke.

Neben Adblock Plus unterstützen auch die Browsererweiterungen Adblock und Ublock entsprechende Rewrite-Filter, nicht jedoch Ublock Origin. Wir konnten den Angriff in unseren eigenen Tests mit allen drei Plugins nachvollziehen.

Ublock-Origin-Autor warnte schon vergangenes Jahr vor der neuen Funktion

In Ublock Origin wurde die entsprechende Funktion nie implementiert, daher funktioniert der Angriff dort nicht. Der Autor von Ublock Origin schrieb bereits im Mai vergangenen Jahres, dass er Sicherheitsbedenken bei diesem Feature hat und nicht plant, es in dieser Form umzusetzen.

Adblock Plus schreibt in einem Statement, dass man es für sehr unwahrscheinlich hält, dass der Angriff in der Praxis durchgeführt wird. Trotzdem will man reagieren. Adblock Plus hat angekündigt, die Rewrite-Filter in der nächsten Version wieder zu entfernen.



Anzeige
Hardware-Angebote
  1. 114,99€ (Release am 5. Dezember)
  2. ab 369€ + Versand
  3. 349,00€

Nurgler 25. Apr 2019

Ich nutze Adblock seit Jahren und habe keine Werbung. Vielleicht machst Du einfach was...

Cyrano_B 24. Apr 2019

das nutzt ja diverse Filterlisten... gibt es dort auch diese Möglichkeiten der Manipulation?

Hut+Burger 16. Apr 2019

Werbung kann mit sehr hoher Wahrscheinlichkeit Javascript-Code ausführen! Sogar von...


Folgen Sie uns
       


Red Magic 3 - Test

Das Red Magic 3 richtet sich an Gamer - dank der Topausstattung und eines Preises von nur 480 Euro ist das Smartphone aber generell lohnenswert.

Red Magic 3 - Test Video aufrufen
Raumfahrt: Galileo-Satellitennavigation ist vollständig ausgefallen
Raumfahrt
Galileo-Satellitennavigation ist vollständig ausgefallen

Seit Donnerstag senden die Satelliten des Galileo-Systems keine Daten mehr an die Navigationssysteme. SAR-Notfallbenachrichtigungen sollen aber noch funktionieren. Offenbar ist ein Systemfehler in einer Bodenstation die Ursache. Nach fünf Tagen wurde die Störung behoben.


    Ricoh GR III im Test: Kompaktkamera mit Riesensensor, aber ohne Zoom
    Ricoh GR III im Test
    Kompaktkamera mit Riesensensor, aber ohne Zoom

    Kann das gutgehen? Ricoh hat mit der GR III eine Kompaktkamera im Sortiment, die mit einem APS-C-Sensor ausgerüstet ist, rund 900 Euro kostet und keinen Zoom bietet. Wir haben die Kamera ausprobiert.
    Ein Test von Andreas Donath

    1. Theta Z1 Ricoh stellt 360-Grad-Panoramakamera mit Profifunktionen vor
    2. Ricoh GR III Eine halbe Sekunde Belichtungszeit ohne Stativ

    iPad OS im Test: Apple entdeckt den USB-Stick
    iPad OS im Test
    Apple entdeckt den USB-Stick

    Zusammen mit iOS 13 hat Apple eine eigene Version für seine iPads vorgestellt: iPad OS verbessert die Benutzung als Tablet tatsächlich, ein Notebook-Ersatz ist ein iPad Pro damit aber immer noch nicht. Apple bringt aber endlich Funktionen, die wir teilweise seit Jahren vermisst haben.
    Ein Test von Tobias Költzsch

    1. Tablets Apple bringt neues iPad Air und iPad Mini
    2. Eurasische Wirtschaftskommission Apple registriert sieben neue iPads
    3. Apple Es ändert sich einiges bei der App-Entwicklung für das iPad

      •  /