Adblock Plus, scoperta vulnerabilità nei filtri

Adblock Plus viene utilizzato da milioni di utenti per impedire la visualizzazione di fastidiosi banner che spesso rallentano anche il caricamento delle pagine. Un ricercatore di sicurezza, Armin Sebastian, ha scoperto una vulnerabilità che potrebbe essere sfruttata per eseguire diverse azioni, tra cui il furto delle credenziali di login. Il bug è presente anche in AdBlock e uBlock.

Gli ad blocker bloccano le inserzioni pubblicitarie in base al loro URL. L’elenco dei domini è presente in un file di testo, denominato filtro, che viene frequentemente aggiornato. Una delle liste più popolari è EasyList, ma ci sono liste di ogni tipo e lunghezza, anche suddivise in base alla lingua. A partire da Adblock Plus 3.2, rilasciato a luglio 2018, Eyeo ha aggiunto una nuova opzione che permette ai gestori di una lista di sostituire una richiesta web con un altro URL. Invece della risorsa originaria viene quindi caricata una risorsa alternativa.

Ad esempio, la regola ||example.com/ad.gif$rewrite=/puppies.gif consente di sostituire il banner pubblicitario con l’immagine di un cucciolo. Il ricercatore di sicurezza ha scoperto che, sotto certe condizioni, il gestore del filtro potrebbe usare l’opzione rewrite per iniettare codice nella pagina web. Questo tipo di attacco è piuttosto semplice da mettere in pratica e difficile da rilevare, ma potrebbe colpire milioni di utenti che usano i tre ad blocker suindicati.

Eyeo, la software house che sviluppa Adblock Plus, ha evidenziato che si tratta di uno scenario improbabile perché gli autori dei filtri sono fidati e le liste sono controllare periodicamente. Inoltre l’exploit funziona solo su alcuni siti web. Nonostante il rischio limitato, Eyeo ha deciso di eliminare l’opzione rewrite nella versione 3.5.2 di Adblock Plus che verrà distribuita nei prossimi giorni. Come ulteriore misura di protezione è previsto solo l’uso di liste HTTPS.