Come risaputo, milioni di utenti usano Adblock Plus per impedire la visualizzazione di fastidiosi banner pubblicitari che spesso rallentano anche il caricamento delle pagine; tuttavia in questi giorni Armin Sebastian, un ricercatore di sicurezza, tramite un post pubblicato sul suo blog ha fatto sapere di aver scoperto una vulnerabilità, (presente anche in Adblock ed uBlock; da non confondere con uBlock Origin), che potrebbe essere sfruttata per eseguire diverse azioni, tra cui il furto delle credenziali di login. In pratica i vari adblocker fermano le inserzioni pubblicitarie in base al loro URL, che viene inserito all'interno di un elenco presente in un file di testo, (denominato filtro), che viene frequentemente aggiornato: una delle liste più popolari è EasyList, ma ci sono liste di ogni tipo e lunghezza, anche suddivise in base alla lingua. Inoltre a partire dalla versione 3.2, (rilasciata a Luglio 2018), Eyeo, società responsabile di Adblock Plus, ha aggiunto una nuova opzione che permette ai gestori di una lista di sostituire una richiesta web con un altro URL e quindi invece della risorsa originaria viene caricata una risorsa alternativa: ad esempio, la regola "||example.com/ad.gif$rewrite=/puppies.gif" consente di sostituire il banner pubblicitario con l'immagine di un cucciolo. Ad ogni modo il ricercatore di sicurezza ha scoperto che, sotto certe condizioni, il gestore del filtro potrebbe usare questa opzione "$rewrite" per iniettare codice malevolo sul browser o direttamente sul sito: si tratta di un tipo di attacco piuttosto semplice da mettere in pratica e difficile da rilevare, e che per questo potrebbe colpire oltre 100 milioni di utenti che usano i suddetti adblocker. Inoltre Armin Sebastian ha spiegato come è riuscito a dimostrare che questo problema può affliggere anche i servizi di casa Google: nello specifico il ricercatore è stato capace di sfruttare tale vulnerabilità per colpire Google Maps ed ha sostenuto che lo stesso potrebbe essere fatto anche su Gmail e Google Immagini. In sostanza, come già anticipato, il risultato di tutto ciò è che un malintenzionato potrebbe sottrarre dati sensibili senza essere individuato; difatti a complicare lo scenario ci si mette anche il fatto che i filtri vengono costantemente aggiornati e dunque nulla rimane "fissato" a lungo. Al riguardo lo stesso Armin Sebastian nel suddetto post ha scritto: «Google ha ricevuto una notifica sull'exploit, ma il rapporto è stato chiuso come "comportamento previsto", in quanto considera il potenziale problema di sicurezza presente solo nelle citate estensioni del browser. Questa è una sfortunata conclusione, perché l'exploit è composto da una serie di vulnerabilità dell'estensione del browser e di vulnerabilità dei servizi Web che sono concatenate. Si noti che la vulnerabilità non è limitata ai servizi di Google, ma potrebbero essere interessati anche altri servizi Web». Mentre in un post pubblicato sul loro blog i responsabili di Adblock Plus hanno evidenziato che si tratta di uno scenario improbabile e che il rischio è marginale perché gli autori dei filtri sono fidati e le liste sono controllare periodicamente ed hanno anche fatto sapere di non aver ancora mai rilevato alcun tentativo di sfruttamento di tale sistema. Inoltre gli sviluppatori dell'adblocker hanno scritto: «Ci sono ancora siti web in cui questo trucco potrebbe essere utilizzato per eseguire software dannosi. Sappiamo che è nostra responsabilità proteggere i nostri utenti da tali attacchi, e stiamo lavorando per risolvere questo problema». Difatti nonostante il rischio limitato, Eyeo ha deciso di rimuovere l'opzione "$rewrite" a partire dalla versione 3.5.2 di Adblock Plus che verrà distribuita nei prossimi giorni e, come ulteriore misura di protezione, ha previsto soltanto l'utilizzo, infine, di liste HTTPS.
Come risaputo, milioni di utenti usano Adblock Plus per impedire la visualizzazione di fastidiosi banner pubblicitari che spesso rallentano anche il caricamento delle pagine; tuttavia in questi giorni Armin Sebastian, un ricercatore di sicurezza, tramite un post pubblicato sul suo blog ha fatto sapere di aver scoperto una vulnerabilità, (presente anche in Adblock ed uBlock; da non confondere con uBlock Origin), che potrebbe essere sfruttata per eseguire diverse azioni, tra cui il furto delle credenziali di login. In pratica i vari adblocker fermano le inserzioni pubblicitarie in base al loro URL, che viene inserito all'interno di un elenco presente in un file di testo, (denominato filtro), che viene frequentemente aggiornato: una delle liste più popolari è EasyList, ma ci sono liste di ogni tipo e lunghezza, anche suddivise in base alla lingua. Inoltre a partire dalla versione 3.2, (rilasciata a Luglio 2018), Eyeo, società responsabile di Adblock Plus, ha aggiunto una nuova opzione che permette ai gestori di una lista di sostituire una richiesta web con un altro URL e quindi invece della risorsa originaria viene caricata una risorsa alternativa: ad esempio, la regola "||example.com/ad.gif$rewrite=/puppies.gif" consente di sostituire il banner pubblicitario con l'immagine di un cucciolo. Ad ogni modo il ricercatore di sicurezza ha scoperto che, sotto certe condizioni, il gestore del filtro potrebbe usare questa opzione "$rewrite" per iniettare codice malevolo sul browser o direttamente sul sito: si tratta di un tipo di attacco piuttosto semplice da mettere in pratica e difficile da rilevare, e che per questo potrebbe colpire oltre 100 milioni di utenti che usano i suddetti adblocker. Inoltre Armin Sebastian ha spiegato come è riuscito a dimostrare che questo problema può affliggere anche i servizi di casa Google: nello specifico il ricercatore è stato capace di sfruttare tale vulnerabilità per colpire Google Maps ed ha sostenuto che lo stesso potrebbe essere fatto anche su Gmail e Google Immagini. In sostanza, come già anticipato, il risultato di tutto ciò è che un malintenzionato potrebbe sottrarre dati sensibili senza essere individuato; difatti a complicare lo scenario ci si mette anche il fatto che i filtri vengono costantemente aggiornati e dunque nulla rimane "fissato" a lungo. Al riguardo lo stesso Armin Sebastian nel suddetto post ha scritto: «Google ha ricevuto una notifica sull'exploit, ma il rapporto è stato chiuso come "comportamento previsto", in quanto considera il potenziale problema di sicurezza presente solo nelle citate estensioni del browser. Questa è una sfortunata conclusione, perché l'exploit è composto da una serie di vulnerabilità dell'estensione del browser e di vulnerabilità dei servizi Web che sono concatenate. Si noti che la vulnerabilità non è limitata ai servizi di Google, ma potrebbero essere interessati anche altri servizi Web». Mentre in un post pubblicato sul loro blog i responsabili di Adblock Plus hanno evidenziato che si tratta di uno scenario improbabile e che il rischio è marginale perché gli autori dei filtri sono fidati e le liste sono controllare periodicamente ed hanno anche fatto sapere di non aver ancora mai rilevato alcun tentativo di sfruttamento di tale sistema. Inoltre gli sviluppatori dell'adblocker hanno scritto: «Ci sono ancora siti web in cui questo trucco potrebbe essere utilizzato per eseguire software dannosi. Sappiamo che è nostra responsabilità proteggere i nostri utenti da tali attacchi, e stiamo lavorando per risolvere questo problema». Difatti nonostante il rischio limitato, Eyeo ha deciso di rimuovere l'opzione "$rewrite" a partire dalla versione 3.5.2 di Adblock Plus che verrà distribuita nei prossimi giorni e, come ulteriore misura di protezione, ha previsto soltanto l'utilizzo, infine, di liste HTTPS.
Commenti
Posta un commento