BT güvenliği araştırmacıları, “Youtube için Adblock” tarayıcı uzantısını incelediler ve potansiyel bir güvenlik açığıyla karşılaştılar. Üreticinin ayrıca Google'ın “kötü amaçlı yazılım” gerekçesiyle Chrome Web Mağazası'ndan çıkardığı uzantılarla da bağlantısı bulunuyor. Üretici şimdi iyileştirmeler yapıyor.
Reklamdan sonra devamını okuyun
Island.io'daki BT araştırmacıları da analizlerinde sorunu “BadBlocker” olarak adlandırıyor. Reklam engelleyici “Youtube için Adblock”un (cmedhionkhpnakcndndgjdbohmhepckk) 11 milyondan fazla kuruluma sahip olduğunu ve 377.000'den fazla inceleme ve 5 üzerinden 4,4 puanla kullanıcılar tarafından büyük ölçüde güvenildiğini belirtiyorlar. Almanya'daki en popüler uzantıların üst listelerinde 15. sırada yer alıyor. Aslında YouTube'da reklamları engelliyor ve işe yarıyor.
Reklam engelleyicide guguk kuşu yumurtası
Ancak reklam engelleyici, görüntülenen herhangi bir web sitesine rastgele JavaScript kodu eklemenin bir yolunu da içerir. Bu, web mağazasının kontrol mekanizmalarından geçmesi gereken bir güncelleme gerektirmez, yalnızca sunucu tarafında bir yapılandırma değişikliği gerektirir. Böyle bir değişikliğin, kullanıcıların bunu tanımak için kullanabileceği görünür bir etkisi de olmayacaktır. Bu, reklam engelleyicinin web sitelerini okumasına, verileri çalmasına veya kişisel hesaplarda, iş uygulamalarında, yönetici panellerinde veya diğer gizli tarayıcı oturumlarında kullanıcı olarak hareket etmesine olanak tanır.
BT araştırmacıları, kullanıcılara gönderilen herhangi bir kötü amaçlı koda açıkça rastlamadıklarını vurguluyor. 11 milyon tarayıcıyı etkileyen olasılığı keşfettiler. Bu bağlamda, uzantının geliştiricisinin en azından şüpheli bir profile sahip olduğunu, bu sırada Google'ın “kötü amaçlı yazılım” gerekçesiyle Chrome Web Mağazası'ndan attığı tarayıcı uzantılarının da ortaya çıktığını belirtiyorlar. Bundan gerçek bir risk alıyorlar. Kaldırılan Chrome için Adblock (onomjaelhagjjojbkcafidnepbfkpnee) ve Sizin için Adblock (ogcaehilgakehloljjmajoempaflmdci) uzantıları bu nedenle YouTube için Adblock'a bağlantılara sahiptir.
YouTube için Adblock uzantısı 2014 yılında Chrome Web Mağazası'na geldi. O zamandan bu yana, mevcut sahibine 2018 civarında bazı kod değişiklikleri ve sahiplik değişiklikleri yapıldı. Bu arada uzantı, reklamları sayfalara enjekte eden Unistream SDK ile dağıtıldı. Sahiplik değişikliğinden bu yana dağıtım birkaç 100.000 kullanıcıdan 10 milyonun üzerine çıktı. Uzantının tarayıcıda yapabilecekleri konusunda da belgelenmemiş değişiklikler oldu. Bununla birlikte, İzlandalı araştırmacılar, özellikle reklam engelleyicilerin kullanıcılar arasında yüksek düzeyde bir güvene sahip olduğunu söylüyor. Başka uzantılara hiçbir zaman verilmeyecek izinleri talep edebilirsiniz.
Uzantı her yerde aktif
YouTube için Adblock, yalnızca YouTube web sitesindeki reklamları engellemeyi amaçlamaktadır. Bununla birlikte, uzantı, uzantının manifestosunda belirtildiği için ziyaret edilen tüm web sitelerinde etkindir; kendisini “youtube” bileşenine sahip URL'lerle sınırlamak yerine, kendisine “all_urls”e erişim izni verir. Bu, uzantıyla birlikte gelen kaynak kodunu kontrol ederek yapılabilir. Ancak yalnızca “youtube.com”un URL'de karakter dizesi olarak görünüp görünmediğini kontrol eder. Bu, uzantının çağrının özelleştirildiği tüm olası sayfalara erişmesine olanak tanır. İzlanda örnek olarak “www.facebook.com/page?ref=youtube.com” veya “bank.example.com/search?q=youtube.com” adreslerini gösteriyor. YouTube için Adblock'un buna erişimi vardır.
Reklamdan sonra devamını okuyun
Uzantı ayrıca her 24 saatte bir sunucusundan yeni bir yapılandırma talep eder; “https://api.adblock-for-youtube.com/api/v2/rules?version=7.2.1” gibi bir istek gönderir. Ağ filtreleri, CSS seçiciler gibi reklam engelleyici kuralların yanı sıra “scriptletsRules” adı verilen bir alan da geri gelir. YouTube için Adblock, reklamları engellemek için kullanılan bir dizi JavaScript işlevi sunar; Bu aynı zamanda reklam engelleyiciler için de yaygındır. Sunucu bunlardan hangisinin hangi argümanlarla yürütüleceğini kontrol eder. Sunucu tarafı talimatları, JavaScript kodunun YouTube için Adblock'a eklenmesine yol açabilir. Kavramın bir kanıtı olarak BT araştırmacıları YouTube sunucusu için Adblock'u taklit ettiler. YouTube'u ziyaret ederek etkinleştirilmeyi bekleyen, değiştirilmiş bir scriptletRules girişiyle yanıt verir. Bir kullanıcı YouTube'da gezinirse, sunucu tarafından gönderilen komut dosyası web sitesine enjekte edilir ve arka planda özellikle Salesforce web sitesini çağırabilir; “Youtube.com” dizesi eklendiğinde, uzantı artık ona tam erişime sahiptir. Konsept kanıtı yalnızca kullanıcıların erişebildiği verileri okur ve bunları sahte sunucuya geri gönderir. Her şey yalnızca bir sunucu tarafı değişikliğiyle mümkündür.
BT güvenlik araştırmacıları, tek bir tehlikeli kod satırından değil, tüm sayfalara erişim sağlayan çok sayıda kurulumun, uzaktan kontrol edilebilir kod yerleştirme yolunun ve önceki reklam sızma altyapısının, büyük sahiplik ve kod tabanı değişikliklerinin ve kötü amaçlı yazılım işaretleri nedeniyle Chrome Web Mağazası'ndan atılan ilgili uzantıların birleşiminden şüpheleniyorlar. Spesifik bir suiistimal gözlemlemediklerini ancak ciddi dikkat gerektiren bir risk profili gözlemlediklerini yineliyorlar.
Örneğin şirketlerde, iyi reklam engelleyiciler gerçekten yararlı olduğundan, tüm reklam engelleyiciler genel olarak engellenmemelidir. Uzlaşma Göstergeleri (IOC) biçiminde genişlemenin varlığına dair bir rehber ve işaretler sağlarlar.
Üretici reaksiyonu
YouTube için Adblock'un arkasındaki şirket olan AdBlock Ltd.'nin kurucusu Mathias Rochus, çevrimiçi ortamda “bu işlevin hiçbir zaman kötü niyetli bir şekilde kullanılmadığını ve olmayacağını” söyledi. “Güvenilir-oluşturma öğesi de dahil olmak üzere güvenilir komut dosyaları bizden gelmiyor. Bunlar, yaygın reklam engelleyicilerin kullandığı AdGuard'ın açık kaynaklı komut dosyası kitaplığının bir parçasıdır. Bu kod, uzantının içindedir ve Chrome Web Mağazası'nın incelemesinden geçer”. Şöyle devam ediyor: “Normal işlevsellikte, sunucudan hiçbir kod yeniden yüklenmez, bunun yerine mevcut bir işlev seçilir. Bu standart scriptlet modelidir.” Bu aynı zamanda Island.io'nun analizine de karşılık geliyor.
Rochus şunları da açıklıyor: “Bu komut dosyasını hiç kullanmadık. Reklam engelleme işlevlerimizden hiçbiri, güvenilir-oluşturma-elementini veya bu güvenilir komut dosyalarından birini çalıştırmadı; bunlar yalnızca çerçeve olarak sağlanan AdGuard kitaplığının bir parçasıydı. Artık hiçbir sunucu yapılandırmasının onu seçememesi için bu kullanılmayan kısmı tamamen kaldırıyoruz. Ayrıca sayfa tanıma, gelecekte URL'nin herhangi bir yerindeki karakter dizesini kabul etmek yerine gerçek youtube.com ana bilgisayar adını kontrol edecektir.” Güncelleme yakında kullanıma sunulacak ve şu anda Chrome Web Mağazası inceleme sürecinden geçiyor.
Şubat ortasında, BT araştırma topluluğu “Q Continuum”, kullanıcıları gözetleyen ve kullanıcıların tarayıcı geçmişini üreticilerine gönderen, bazıları milyonlarca kurulum içeren yüzlerce uzantı keşfetti.
Güncelleme
16:53
Saat
Üreticinin kodun kaldırılmasına tepkisi ve mesaja entegre edilmiş bir güncellemenin duyurulan dağıtımı.
(DMK)

Bir yanıt yazın