Nieuwe generatie adblockers kwetsbaar voor aanvallen

[Captain Kirk]

De nieuwe generatie adblockers die advertenties op slimme wijze zouden moeten blokkeren zijn kwetsbaar voor aanvallen waardoor een aanvaller legitieme content bij andere gebruikers kan laten blokkeren. Ook introduceren deze adblockers allerlei ernstige kwetsbaarheden, zoals clickfraude en cross-site request forgery (CSRF), aldus onderzoekers van Stanford University en het Helmholtz Center for Information Security (pdf).

Traditionele adblockers maken gebruik van filterlijsten om advertenties te blokkeren. De nieuwe generatie perceptuele adblockers kijkt naar visuele kenmerken van advertenties of andere aanwijzingen op een website zoals de vermelding van de tekst "sponsored". Volgens de ontwikkelaars van deze adblockers zou dit een einde moeten maken aan de wapenwedloop tussen websites, adverteerders en uitgevers aan de ene kant en adblockers aan de andere kant.

Op dit moment reageren uitgevers en advertentiebedrijven op de filterlijsten van adblockers, waarna adblockers weer een update voor de filterlijst uitbrengen. Via slimme adblockers die naar visuele kenmerken op een pagina kijken zou het gebruik van een filterlijst niet meer nodig zijn en worden alle advertenties geblokkeerd. Het onderzoek van de onderzoekers laat echter zien dat ook deze perceptuele adblockers niet waterdicht zijn.

Door het AdChoices-logo dat bij veel advertenties wordt getoond iets aan te passen konden de conceptuele adblockers worden omzeild. Een aanval met veel grotere gevolgen noemen de onderzoekers "AdBlocker Privilege Hijacking". Hierbij uploadt een kwaadwillende gebruiker materiaal dat ervoor zorgt dat legitiem materiaal van een andere gebruiker als advertentie wordt gezien. Hierdoor wordt dit legitieme materiaal vervolgens bij alle andere gebruikers van de adblocker geblokkeerd.

De onderzoekers waarschuwen ook dat adblockers die naar het gedrag van een pagina kijken ook aanvallen zoals clickfraude, cross-site request forgery en distributed denial of service (ddos) mogelijk kunnen maken. Ontwikkelaars van dergelijke adblockers moeten hier dan ook rekening mee houden. Volgens de onderzoekers is het onderzoek niet bedoeld om de voordelen van adblocking te bagatelliseren of perceptuele adblockers onderuit te halen, maar is het juist bedoeld om de gevonden kwetsbaarheden in de praktijk te voorkomen.

 

 

bron: security.nl