FOSSBYTES TECH SIMPLIFIED LOGO

ioNel luglio 2018, il popolare software Adblock Plus ha rilasciato la sua versione 3.2 che ha introdotto una nuova funzionalità chiamata $ rewrite. Questa funzione permetteva di modificare le regole di filtro e decidere quali contenuti venivano bloccati e quali no. Si è detto che spesso ci sono elementi di contenuto difficili da bloccare. Questa funzione è stata presto implementata da AdBlock e uBlock.

In uno sviluppo preoccupante, esso è stato rivelato quello Questo l’opzione di filtro può essere sfruttata da noti attori per iniettare codice arbitrario nelle pagine web. Con oltre 100 milioni di utenti di questi strumenti di blocco degli annunci, questo exploit ha un grande potenziale danneggiare gli utenti del web.

Quando è stata introdotta la funzione $ rewrite, è venuto fuori un semplice trucco per garantire che non venga sfruttata facilmente. Dovevi specificare un nuovo URL per sostituire una particolare richiesta web. Nel fare ciò, era necessario sostituire l’URL precedente con un nuovo URL con lo stesso host. Ad esempio, dovevi reindirizzare le richieste per example.com/ads.gif per example.com/doggos.gif. Qui, l’host example.com rimane lo stesso.

Allora cosa è cambiato? Cosa ha reso $ rewrite sfruttabile?

In alcune condizioni, è possibile sfruttare i servizi web utilizzando $ rewrite. Ad esempio, quando un servizio utilizza XMLHttpRequest o Fetch per caricare il codice per l’esecuzione, $ rewrite consente loro di soddisfare le richieste da origini arbitrarie.

Tenendo presente queste condizioni, è possibile per qualsiasi manutentore di filtri per il blocco degli annunci creare una serie di regole che possono reindirizzare il servizio a una pagina con un payload dannoso.

Secondo i risultati del ricercatore Armin Sebastian, i servizi di Google come Google Mi sento fortunato, Google Maps, Gmail e Google Immagini, ecc., Soddisfano i requisiti per essere sfruttabili. Vale la pena notare che il difetto non è limitato ai servizi di Google e altri servizi web potrebbero essere interessati dallo stesso.

Sebastian ha informato Google del difetto, ma il suo rapporto è stato chiuso in quanto si trattava di un “comportamento previsto”.

Vale la pena notare che è difficile rilevare quale operatore di elenchi di filtri non autorizzati ha inserito il codice dannoso. L’operatore può offrire una scadenza breve per l’elenco dei filtri dannosi e persino ordinare gli obiettivi in ​​base agli indirizzi IP. Sebastian suggerisce che gli ad blocker dovrebbero abbandonare il supporto per la funzione $ rewrite e optare per quelle opzioni che non la supportano in primo luogo.

Leggi anche: RobinHood Ransomware è “onesto” e promette di “rispettare la tua privacy”

This post is also available in: Spagnolo Tedesco Vietnamita Italiano Indonesiano

LEAVE A REPLY

Please enter your comment!
Please enter your name here