По словам исследователя Армина Себастьяна, проблема безопасности присутствует в Adblock, Adblock Plus и uBlock и связана с относительно новой функцией фильтрации, добавленной в Adblock Plus 3.2 в июле 2018 года. Позже она появилась в других расширениях для блокировки рекламы (отметим, что uBlock принадлежит Adblock и не имеет никакого отношения к uBlock Origin).
Новая функция фильтрации предназначена для подмены запросов и в основном используется для удаления данных отслеживания и борьбы с техниками обхода блокировки рекламы. Себастьян отмечает:
При определенных условиях функция фильтрации $rewrite позволяет вставлять произвольный код в содержимое веб-страницы.
Тревогу вызывает мнения о том, что эксплуатация данной уязвимости является «тривиальной» задачей – атаки могут привести к катастрофическим последствиям, ведь аудитория данных рекламных фильтров превышает 100 миллионов активных пользователей.
В случае успешной эксплуатации злоумышленники могут выполнять любые виды вредоносной активности, в том числе воровать ваши учетные данные.
Исследователь безопасности предупредил, что эксплойт может быть использован во всех основных браузерах с веб-сервисами, которые соответствуют определенным критериям, подробно описанным в его сообщении в блоге. В зоне риска оказались сервисы Google, такие как Gmail, Карты Google и Картинки Google.
Себастьян сообщает:
Обратите внимание, что уязвимость не ограничивается службами Google – могут быть затронуты и другие веб-сервисы.
Исследователь обратился в Google, но представитель компании ответил, что уязвимость связана с «преднамеренным поведением», и проблему нужно исправлять именно в блокировщиках, а не в сервисах Google.
Себастьян не согласен с таким выводом, и указывает на то, что проблема заключается не только в недостатках расширений рекламных фильтров, но и в уязвимостях веб-служб, которые в совокупности допускают эксплуатацию.
Нетривиальная задача эксплуатации
Тем временем, разработчики Adblock Plus признали проблему, хотя компания использует другие формулировки для описания эксплойта. Разработчики описывают уязвимость как «нетривиальную» для эксплуатации, что прямо противоречит убеждению исследователя безопасности, и подчеркивают, что проведение атаки возможно только на некоторых сайтах.
Тем не менее, Adblock Plus признает, что проблема является серьезной:
Несмотря на то, что фактическая вероятность эксплуатации является небольшой, мы решили удалить опцию подмены запросов и, соответственно, выпустить обновленную версию Adblock Plus, как только это будет технически возможно.
Мы делаем это в качестве меры предосторожности. Пока не было зарегистрировано реальных попыток эксплуатации уязвимости, и мы сделаем все от нас зависящее, чтобы этого не произошло.
Хотя Adblock Plus оценивает риск как низкий, уязвимость может привлечь внимание злоумышленников после того, как информация о ней стала достоянием общественности.
Что можно предпринять, пока не выпущена новая обновленная версия Adblock Plus?
Себастьян советует пользователям подумать о переходе на uBlock Origin, у которого нет функции $rewrite – по крайней мере, до тех пор, пока не будет решена проблема с затронутыми расширениями блокировщиков рекламы. Также проблеме не подвержен Adguard, как сообщили разработчики на сайте Bleepingcomputer.
Угрозы безопасности
• Уязвимость WinRAR позволяет обходить предупреждения безопасности Mark of the Web в Windows
• Apple устранила более 50 уязвимостей в свежих обновлениях iOS, iPadOS и macOS
• Вирус Triada на поддельных смартфонах крадёт Telegram-аккаунты и криптовалюту
• Атака «Фишинг как услуга» использует DNS-over-HTTPS для обхода обнаружения
• Mozilla предупреждает о критической уязвимости обхода песочницы в Firefox для Windows
• Популярные расширения Chrome взломали. Как защитить себя?