News

Adblocker können zum Malware-Einfallstor werden

(Bild: Sharaf Maksumov / Shutterstock)

Unter gewissen Umständen ist es mit Adblockern wie Adblock Plus, Adblock und U-Block möglich, schädlichen JavaScript-Code auf Websites auszuführen. 

Das normale Vorgehen eines Adblockers: Mit Filterregeln werden die Inhalte einer Website beeinflusst. Dabei wurden gewisse Inhalte wie Werbung ausgeblendet – das Hinzufügen von Elementen sollte nicht funktionieren. Eine gewisse Ausnahme davon stellt eine im Juli 2018 in Adblock Plus eingeführte Rewrite-Funktion dar.

Die soll es ermöglichen, Tracking-Parameter aus URL zu entfernen oder eine Umleitung von AMP-URL auf die normale Website zu erzeugen. Code auszuführen sollte also weder mit den normalen Filterregeln, noch mit der Rewrite-Funktion möglich sein.

Unter gewissen Umständen lässt sich durch die Rewrite-Funktion allerdings schädlicher JavaScript-Code auf Websites ausführen, wie Entwickler Armin Sebastian in seinem Blog ausführt. Das betrifft nicht nur Adblock Plus, auch Adblock sowie U-Block haben die Rewrite-Funktion eingeführt. U-Block Origin ist allerdings nicht betroffen, die Macher wiesen auf GitHub schon im Mai 2018 auf ein mögliches Sicherheitsrisiko hin.

Rewrite-Funktion lässt sich unter gewissen Umständen ausnutzen

Wie genau sich die Funktion für Schadcode ausnutzen lässt, beschreibt Sebastian in seinem Blogpost. Die Rewrite-Regeln können Requests innerhalb eines Hosts umschreiben. Durch Script-Tags eingebundenes JavaScript kann nicht beeinflusst werden. Wird es allerdings dynamisch per Fetch-API oder XMLHttpRequest nachgeladen und ausgeführt, lässt sich unter bestimmten Umständen beliebiges JavaScript auf Websites ausführen.

Zwei weitere Voraussetzungen gibt es: Der Angriff funktioniert nur, wenn die Website nicht einer Content-Security-Policy folgt und den auszuführenden Code prüft oder die Herkunft des Codes noch einmal validiert. Außerdem muss es die Möglichkeit geben, einen Redirect zu erzeugen, um im gleichen Host zu bleiben. Alternativ funktioniert es auch, wenn ein Host User-Content hostet, der den Schadcode beinhaltet.

Zum Ausnutzen der Funktion muss also die JavaScript-URL auf die Weiterleitung umgeschrieben werden, die dann den Code einschleust. Das funktioniert laut Sebastian beispielsweise bei Google, die es in einem Statement ihm gegenüber als Problem der Adblocker beschreiben.

Adblock Plus entfernt Rewrite-Funktion mit kommendem Update

In einem Statement schreibt Adblock Plus, dass sie das Ausnutzen der Funktion für unwahrscheinlich halten, weil sie jeden Filterlisten-Autoren, aber auch die Filterlisten selbst regelmäßig überprüften. Trotzdem soll in einer neuen Version die Rewrite-Funktion wieder entfernt werden. Jene soll zeitnah erscheinen.

Passend dazu:

Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Schreib den ersten Kommentar!

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.