Adblock Plus: Filteroption für Malware-Angriffe ausnutzbar

Ein Feature in den Werbeblockern AdBlock, Adblock Plus und uBlock weist eine Schwachstelle auf, über die Angreifer unter Umständen JavaScript-Code auf Website platzieren könnten, der dann im Kontext der Seite läuft (Cross-Site-Scripting). Klappt so ein Übergriff, ist es vorstellbar, dass ein Angreifer Aktionen mit den Nutzerechten des Opfers ausführen könnte. Die Webbrowser-Erweiterungen gibt es beispielsweise für Chrome, Firefox und Opera. Millionen von Nutzern setzen diese Werbeblocker ein.

Im Juli 2018 haben die Entwickler von Adblock Plus Eyeo die Browser-Erweiterung mit der $rewrite-Filteroption ausgestattet. Später hielt die Option auch bei AdBlock und uBlock Einzug. Über die Filteroption kann man Filterregeln, die bestimmen, ob Inhalte blockiert werden oder nicht, anpassen. Dies eröffnet den Betreuern der Filterlisten die Möglichkeit, Werbeanfragen auf andere Seiten umzuleiten statt sie zu blocken. So können sie zum Beispiel Tracking-Daten aus URLs entfernen.

Missbrauchspotenzial

Der Sicherheitsforscher Armin Sebastian hat sich die $rewrite-Filteroption in Adblock Plus näher angesehen und ist auf Schwachstellen gestoßen. Unter bestimmten Bedingungen ermöglicht die Filteroption den Betreuern von Filterlisten, beliebigen Code in Webseiten einzufügen. Dabei lässt sich im Grunde jeder ausreichend komplexe Webdienst angreifen, beschreibt Sebastian in seinem Artikel.

Potenziellen Angreifern ermöglicht dies Attacken, die nur schwer zu erkennen und kaum abzuwehren sind. So könnte eine Filterregel über eine böswillig aktualisierte Filterliste Nutzer für kurze Zeit auf Malware-Webseiten umleiten oder Code in die geladene Webseite injizieren. Anschließend lädt der Angreifer wieder eine "gute" Filterliste und alle Angriffsspuren sind verwischt.

Auch andere Eingriffe, wie eine politisch motivierte Zensur, sind denkbar. Sebastian führt in seinem Artikel einen Fall auf, wie ein Betreuer einer finnischen Filterliste beschloss, mehrere Websites von Gewerkschaften mit Aufrufen zu Streiks zu blockieren, um eine politische Erklärung zu deren Streiks abzugeben. Das Missbrauchspotenzial gilt natürlich auch für Adblock und uBlock, da die beiden Erweiterungen diese Filteroption ebenfalls anbieten.

Der Sicherheitsforscher berichtete das Ganze nach eigener Aussage an Google. Google sah dieses Redirect jedoch als ein beabsichtigtes Verhalten an und schloss den Fall, da es ihrer Auffassung nach kein Sicherheitsproblem darstelle. Daher beschloss Sebastian nun, das Problem offenzulegen.

Reaktion vom Anbieter

In seinem Beitrag empfiehlt er Nutzern, auf uBlock Origin umzusteigen, da dort die Filteroption nicht vorhanden ist. Zudem schlug er dem Anbieter von Adblock Plus vor, die Option aus Sicherheitsgründen zu entfernen. Aufgrund der Berichterstattung antwortete die Eyeo GmbH zügig auf einen Tweet und verwies auf eine inzwischen veröffentlichte Stellungnahme.

Die Einführung der $rewrite-Option begründet der Anbieter mit einer größeren Kontrolle der Filterung. Eyeo sieht die Ausnutzung der Sicherheitslücke als schwierig an, da Angreifer Zugriff auf die zu aktualisieren Filterlisten benötigen. Auch habe es bisher keinen Versuch eines Missbrauchs gegeben.

Dem Anbieter seien die Sicherheitsbedenken in Bezug auf dieses Feature bekannt gewesen. Daher habe man dies ausführlich diskutiert und Einschränkungen eingeführt, um Risiken zu minimieren. Auch wenn die Entwickler das Risikio als sehr gering ansiehen, haben sie sich dazu entschieden, die Filteroption zu entfernen und so schnell wie möglich eine aktualisierte Version von Adblock Plus zu veröffentlichen.

[UPDATE, 17.04.2019 13:20 Uhr]

Auswirkungen des Angriffs im Fließtext angepasst. (des)