A Sua Extensão AdBlocker pode Executar um Código Malicioso? Sim, pode
Aqui está um tópico controverso para você - propagandas na Internet. Muitos dos serviços e websites online que usamos todos os dias estão disponíveis para nós sem custo algum. Entretanto, operar esses serviços é tudo menos gratuito. Na verdade, as pessoas que os administram colocam muito dinheiro e esforço neles, e muito frequentemente, as propagandas que exibem nas páginas é o único modo de ter algum retorno pelos seus investimentos. Por outro lado, as propagandas são, na maioria das vezes, bem irritantes, e podem até ser perigosas, e é por isso que os especialistas em segurança recomendam que você considere o uso de uma extensão para o bloqueio de propagandas em todos os seus navegadores.
Índice
Como os AdBlockers funcionam?
Por fora, os AdBlockers parecem ser leves, sem plug-ins indiscretos que trabalham em silêncio para dar-lhe uma experiência online mais agradável. Seu funcionamento interno também não é especialmente complexo.
Quando você está tentando visualizar uma página da web, a extensão de bloqueio de propagandas vai ao código fonte e bloqueia quaisquer scripts e URLs relacionados à propagandas conhecidos. Para identificá-los, elas utilizam listas negras que são atualizadas regularmente.
O resultado final é você ser privado de uma oportunidade de responder à uma pesquisa pessoal que pode dizer o tipo de guacamole que você é. Você também evita propagandas irritantes e potencialmente perigosas.
Entretanto, nem todo mundo está feliz. O fato de você não ver nenhuma propaganda significa que o salário de algumas pessoas está ameaçado, e eles farão tudo o que puderem para assegurarem-se de que as suas propagandas encontrarão uma maneira de burlar o seu bloqueador. De vez em quando, eles conseguem fazer isso, o que significa que os bloqueadores devem se adaptar.
No ano passado, por exemplo, o AdBlock Plus, uma das extensões mais populares, incorporou uma nova opção de filtro $rewrite que foi designada para bloquear propagandas de vídeo inteligentemente posicionadas e mecanismos de rastreamento que aparecem em alguns websites. Pouco depois, o AdBlock e o uBlock (não confundir com uBlock Origin), duas outras extensões baseadas no AdBlock Plus, implementaram a mesmo opção de filtro. Tudo estava indo bem até na última semana quando um pesquisador de segurança independente chamado Armin Sebastian descobriu uma vulnerabilidade na funcionalidade $rewrite.
Uma vulnerabilidade na execução do código na função $rewrite dos bloqueadores de propagandas
A função principal da opção do filtro $rewrite bloquear propagandas e rastrear dados redirecionando requisições. Assim, por si só, ele pode apresentar alguns problemas, o que é o porquê d, por razões de segurança, os desenvolvedores da extensão designaram a opção para permitir um tipo limitado de redirecionamento. Armin Sebastian descobriu, entretanto, que em certas circunstâncias, certos serviços da Web podem ser explorados para executarem códigos graças à opção $rewrite.
Há algumas condições, entretanto. Os serviços web em questão devem utilizar ou XMLHttpRequest ou Fetch para executar códigos, e a origem do código deve ser configurada de um certo jeito. A falta de uma política de segurança de conteúdo ou uma validação de uma URL de requisição antes de executar o código também é um pré-requisito.
Baseado em tudo isso, você pode argumentar que há algumas estrelas que precisam se alinhar perfeitamente para que o ataque funcione, mas de acordo com Armin Sebastian, explorar com sucesso o bug é “trivial”.
Há dois fatores de contribuição que fazem a vulnerabilidade particularmente assustadora. A primeira é puramente o número de pessoas usando os bloqueadores vulneráveis. Como já mencionamos, o AdBlock Plus está entre as extensões mais populares desse tipo, e quando você adiciona a sua base de usuários ao número de pessoas que instalaram os outros dois plug-ins, verá que está olhando para centenas de milhões de alvos em potencial.
E mais, alguns serviços da web bem populares se encaixam para serem explorados, incluindo o Maps do Google e o Gmail, e já que estamos falando sobre execução de códigos, a quantidade de possíveis ataques é basicamente ilimitada. O bug pode ser configurado para funcionar apenas com endereços de IP específicos, o que significa que pode ser usado em alvos altamente visados como também em campanhas de grande escala.
AdBlock Plus: “Não é grande coisa ma, de qualquer maneira, estamos arrumando isso”
O fato do Google Maps e do Gmail poderem ser explorados induziu Admin Sebastian a contactar a gigante das buscas antes de publicar a sua pesquisa. O time de segurança do Google lhe disse, entretanto, que eles não estão dispostos a avaliar o problema porque de acordo com eles, ele está ligado às extensões de bloqueio de propagandas, não aos serviços da web.
Os desenvolvedores do AdBlock Plus estavam também um pouco céticos. Em sua resposta inicial, eles disseram que esse cenário é “bem improvável” porque eles examinam regularmente a lista de filtros e corrigem todos os contribuintes que adicionam às listas. Mesmo assim, eles disseram que tentariam trabalhar em uma solução, e foi no sábado anunciaram que a vulnerabilidade foi corrigida na última versão da extensão.
O time da rede social do AdBlock contou aos usuários preocupados que estavam trabalhando em uma solução, mas não anunciaram a sua liberação oficialmente. Os desenvolvedores do uBlock, por outro lado, não discutiram o problema.
Todos nós sabemos que muitos usuários não gostam de atualizações, mas também vemos que os pesquisadores de segurança encontrarem vulnerabilidades nos aplicativos e plug-ins mais simples todos os dias. Eis porquê, por mais irritantes e dolorosas que sejam, as atualizações automáticas em todos os seus softwares devem ser habilitadas todas as vezes.
