Abo
  • IT-Karriere:

Adblock Plus: Adblock-Filterregeln können Code ausführen

Unter bestimmten Voraussetzungen können Filterregeln für Adblocker mit einer neuen Funktion Javascript-Code in Webseiten einfügen. Adblock Plus will reagieren und die entsprechende Funktion wieder entfernen. Ublock Origin ist nicht betroffen.

Artikel von Hanno Böck veröffentlicht am
Eine neue Form von Filterregeln kann zum Sicherheitsrisiko für Werbeblocker werden.
Eine neue Form von Filterregeln kann zum Sicherheitsrisiko für Werbeblocker werden. (Bild: Pixabay/Pixabay License)

Verschiedene Werbeblocker sind durch eine neue Funktion für Filterregeln anfällig für Angriffe. Dabei müssen eine Reihe von Voraussetzungen zusammenkommen. Dem Softwareentwickler Armin Sebastian gelang es, einen Beispielangriff auf Webseiten von Google zu demonstrieren.

Stellenmarkt
  1. Cooper Advertising GmbH, Hamburg Hafencity
  2. DLR Deutsches Zentrum für Luft- und Raumfahrt e.V., Berlin

Adblocker arbeiten mit Filterlisten, die durch verschiedene Regeln den Inhalt von Webseiten beeinflussen können. Die Filterregeln sind allerdings in ihren Möglichkeiten beschränkt. Im Normalfall können sie zwar Inhalte aus Webseiten entfernen, sie sollten aber keine neuen Inhalte hinzufügen können und insbesondere auch keinen Code im Kontext von Webseiten ausführen.

Neue Filterfunktion erlaubt Umschreiben von URLs

Doch eine neue Filterfunktion, die im Juli 2018 in Adblock Plus eingeführt wurde, ermöglicht es, diese Beschränkungen zu umgehen. Mit den sogenannten Rewrite-Filterregeln können Filterlisten die URLs von HTTP-Anfragen umschreiben - allerdings nur innerhalb eines Hosts. Auch gibt es einige zusätzliche Sicherheitsbeschränkungen, so können etwa durch Script-Tags geladene Javascript-URLs nicht direkt umgeschrieben werden.

Doch Script-Tags sind nicht die einzige Möglichkeit, mit der Webseiten Javascript nachladen. Auf komplexeren Webseiten wird Javascript-Code oft dynamisch nachgeladen, etwa über die XMLHttpRequest-Funktion oder über die Fetch-API. Das ist etwa auf der Google-Webseite der Fall.

Damit ist es möglich, HTTP-Anfragen umzuschreiben, bei denen Javascript-Code geladen wird. Doch da das Umschreiben nur innerhalb eines Hosts funktioniert, braucht es einen weiteren Trick für einen Angriff. Dafür dienen Weiterleitungen. Auf den Google-Hosts ist es möglich, eine URL zu generieren, die auf eine beliebige externe URL weiterleitet.

Damit ist der Angriff komplett: Die Filterregel schreibt eine Anfrage, bei der Javascript nachgeladen wird, auf eine entsprechende Weiterleitung um. Diese leitet auf eine vom Angreifer kontrollierte URL um.

Der Entdecker der Lücke hatte den Angriff auch an Google gemeldet, das Unternehmen war aber der Ansicht, dass es sich um ein erwünschtes Verhalten der Google-Webseite handelt und der Fehler in den Adblock-Plugins liegt.

Bösartige Filterregeln können Account kontrollieren

Der gesamte Angriff basiert darauf, dass der Nutzer entweder Filterregeln installiert, deren Autor den Angriff durchführt, oder dass die Filterregeln bei der Übertragung manipuliert wurden. Letzteres ist möglich, wenn diese über HTTP und nicht über HTTPS geladen werden. Die meisten Filterregeln werden inzwischen über HTTPS ausgeliefert, einige nicht standardmäßig aktivierte Listen werden aber über unsicheres HTTP übertragen.

Bei einem Angriff kann dem Nutzer beliebiger Javascript-Code untergeschoben werden, der im Kontext der Webseite ausgeführt wird. In der Praxis bedeutet das, dass der Angreifer alle Aktionen, die ein Nutzer mit seinem Account durchführen kann, ebenfalls steuern kann. Es ist von den Auswirkungen vergleichbar mit einer Cross-Site-Scripting-Lücke.

Neben Adblock Plus unterstützen auch die Browsererweiterungen Adblock und Ublock entsprechende Rewrite-Filter, nicht jedoch Ublock Origin. Wir konnten den Angriff in unseren eigenen Tests mit allen drei Plugins nachvollziehen.

Ublock-Origin-Autor warnte schon vergangenes Jahr vor der neuen Funktion

In Ublock Origin wurde die entsprechende Funktion nie implementiert, daher funktioniert der Angriff dort nicht. Der Autor von Ublock Origin schrieb bereits im Mai vergangenen Jahres, dass er Sicherheitsbedenken bei diesem Feature hat und nicht plant, es in dieser Form umzusetzen.

Adblock Plus schreibt in einem Statement, dass man es für sehr unwahrscheinlich hält, dass der Angriff in der Praxis durchgeführt wird. Trotzdem will man reagieren. Adblock Plus hat angekündigt, die Rewrite-Filter in der nächsten Version wieder zu entfernen.



Anzeige
Spiele-Angebote
  1. 42,99€
  2. 4,99€
  3. (-65%) 3,50€
  4. (u. a. Division 2: Standard Edition, Call of Duty: Black Ops 4, Red Dead Redemption 2)

NoGoodNicks 22. Apr 2019 / Themenstart

ITler will MA feuern, weil sie seinen Job für ihn erledigen? LOL. Ich war schon in einer...

Hut+Burger 16. Apr 2019 / Themenstart

Werbung kann mit sehr hoher Wahrscheinlichkeit Javascript-Code ausführen! Sogar von...

Kommentieren


Folgen Sie uns
       


iPad Mini (2019) - Fazit

Nach vier Jahren hat Apple ein neues iPad Mini vorgestellt. Das neue Modell hat wieder einen 7,9 Zoll großen Bildschirm und unterstützt dieses Mal auch den Apple Pencil.

iPad Mini (2019) - Fazit Video aufrufen
TES Blades im Test: Tolles Tamriel trollt
TES Blades im Test
Tolles Tamriel trollt

In jedem The Elder Scrolls verbringe ich viel Zeit in Tamriel, in TES Blades allerdings am Smartphone statt am PC oder an der Konsole. Mich überzeugen Atmosphäre und Kämpfe des Rollenspiels; der Aufbau der Stadt und der Charakter-Fortschritt aber werden geblockt durch kostspielige Trolle.
Ein Test von Marc Sauter

  1. Bethesda TES Blades startet in den Early Access
  2. Bethesda The Elder Scrolls 6 erscheint für nächste Konsolengeneration

Fitbit Versa Lite im Test: Eher smartes als sportliches Wearable
Fitbit Versa Lite im Test
Eher smartes als sportliches Wearable

Sieht fast aus wie eine Apple Watch, ist aber viel günstiger: Golem.de hat die Versa Lite von Fitbit ausprobiert. Neben den Sport- und Fitnessfunktionen haben uns besonders der Appstore und das Angebot an spaßigen und ernsthaften Anwendungen interessiert.
Von Peter Steinlechner

  1. Smartwatch Fitbit stellt Versa Lite für Einsteiger vor
  2. Inspire Fitbits neues Wearable gibt es nicht im Handel
  3. Charge 3 Fitbit stellt neuen Fitness-Tracker für 150 Euro vor

Swobbee: Der Wechselakku kommt wieder
Swobbee
Der Wechselakku kommt wieder

Mieten statt kaufen, wechseln statt laden: Das Berliner Startup Swobbee baut eine Infrastruktur mit Lade- und Tauschstationen für Akkus auf. Ein ähnliches Geschäftsmodell ist schon einmal gescheitert. Dieses kann jedoch aufgehen.
Eine Analyse von Werner Pluta

  1. Elektromobilität Seoul will Zweirad-Kraftfahrzeuge und Minibusse austauschen
  2. Rechtsanspruch auf Wallboxen Wohnungswirtschaft warnt vor "Schnellschuss" bei WEG-Reform
  3. Innolith Energy Battery Schweizer Unternehmen entwickelt sehr leistungsfähigen Akku

    •  /