IT-Sicherheitsforscher haben die Browser-Erweiterung „Adblock for Youtube“ untersucht und sind dabei auf eine potenzielle Sicherheitslücke gestoßen. Der Hersteller steht zudem mit Erweiterungen in Verbindung, die Google mit der Begründung „Malware“ aus dem Chrome Web Store geworfen hat. Nutzerinnen und Nutzer sollten auf Alternativen ausweichen.

Die IT-Forscher von island.io nennen in ihrer Analyse das Problem auch „BadBlocker“. Sie führen aus, dass der Werbeblocker „Adblock for Youtube“ (cmedhionkhpnakcndndgjdbohmhepckk) auf mehr als 11 Millionen Installationen kommt und mit mehr als 377.000 Bewertungen und einer Wertung von 4,4 von 5 möglichen Sternen weitreichend von Nutzerinnen und Nutzern Vertrauen genießt. In den Top-Charts der beliebtesten Erweiterungen landet es in Deutschland auf Platz 15. Tatsächlich blockiert er Werbung auf YouTube und funktioniert.

Kuckucksei im Werbeblocker

Allerdings enthält der Adblocker auch eine Möglichkeit, beliebigen JavaScript-Code in jede angezeigte Webseite zu schleusen. Dazu bedarf es keines Updates, das durch Prüfmechanismen des Webstores müsste, sondern lediglich einer serverseitigen Konfigurationsänderung. Eine derartige Änderung würde auch keine sichtbaren Auswirkungen haben, anhand derer Benutzerinnen und Benutzer sie erkennen könnten. Dadurch könne der Adblocker Webseiten auslesen, Daten stehlen oder als Nutzer in persönlichen Konten, Arbeits-Apps, Admin-Panels oder anderen vertraulichen Browsersitzungen agieren.

Die IT-Forscher betonen, dass sie ausdrücklich keinen bösartigen Schadcode entdeckt haben, der an Nutzer ausgeliefert worden wäre. Sie haben lediglich die Möglichkeit dazu aufgespürt, die 11 Millionen Browser betrifft. Sie weisen in dem Kontext darauf hin, dass der Entwickler der Erweiterung ein zumindest verdächtiges Profil hat, in dessen Verlauf auch Browser-Erweiterungen in Erscheinung treten, die Google mit der Begründung „Malware“ aus dem Chrome Web Store geworfen hat. Daraus leiten sie ein reales Risiko ab. Die entfernten Erweiterungen Adblock for Chrome (onomjaelhagjjojbkcafidnepbfkpnee) und Adblock for You (ogcaehilgakehloljjmajoempaflmdci) haben demnach Verknüpfungen zu Adblock for YouTube.

Die Erweiterung Adblock for YouTube kam im Jahr 2014 in den Chrome Web Store. Seitdem kam es zu einigen Code-Änderungen und Besitzerwechseln, etwa 2018 zum jetzigen Inhaber. Zwischenzeitlich wurde die Erweiterung mit dem Unistream-SDK verteilt, das Werbung in Seiten injiziert. Seit dem Besitzerwechsel wuchs die Verbreitung von wenigen 100.000 Nutzerinnen und Nutzern hin zu mehr als 10 Millionen. Zudem kam es zu nicht dokumentierten Verschiebungen darin, was die Erweiterung im Browser anstellen kann. Dennoch genießen gerade Adblocker hohes Vertrauen bei Nutzern, führen die Island-Forscher aus. Sie können Berechtigungen anfordern, die anderen Erweiterungen niemals erteilt würden.

Erweiterung ist überall aktiv

Adblock for YouTube soll nur auf der YouTube-Webseite Werbung blockieren. Dennoch ist die Erweiterung auf allen besuchten Webseiten aktiv, weil das in dem Manifest der Erweiterung so festgelegt ist – anstatt sich auf URLs mit „youtube“-Bestandteil zu beschränken, genehmigt sie sich Zugriff auf „all_urls“. Das könnte eine Prüfung im Quellcode übernehmen, die die Erweiterung mitbringt. Die prüft jedoch nur, ob „youtube.com“ als Zeichenkette in der URL auftaucht. Das ermöglicht Zugriffe der Erweiterung auf alle möglichen Seiten, in denen der Aufruf angepasst wird. Island nennt als Beispiele „www.facebook.com/page?ref=youtube.com“ oder „bank.example.com/search?q=youtube.com“. Darauf hat Adblock for Youtube dann Zugriff.

Die Erweiterung fragt zudem alle 24 Stunden bei ihrem Server nach neuer Konfiguration an, sie setzt eine Anfrage etwa nach „ ab. Zurück kommen Adblocker-Regeln wie Netzwerkfilter, CSS-Selectors, aber auch ein Feld namens „scriptletsRules“. Eine Sammlung solcher JavaScript-Funktionen, die zum Blockieren von Werbung dienen, bringt Adblock for YouTube mit; das sei auch üblich für Adblocker. Der Server kontrolliert, welche davon mit welchen Argumenten ausgeführt werden. Die serverseitigen Anweisungen können bei Adblock for YouTube zum Einschleusen von JavaScript-Code führen. Als Proof-of-Concept haben die IT-Forscher den Adblock-for-YouTube-Server imitiert. Der antwortet mit manipuliertem scriptletsRules-Eintrag, der auf Aktivierung durch den Besuch auf YouTube wartet. Surfen User YouTube an, injiziert sich das serverseitig gesendete Script in die Webseite und kann im Hintergrund konkret etwa die Salesforce-Webseite aufrufen; mit eingeschleustem „youtube.com“-String hat die Erweiterung nun auch darauf vollen Zugriff. Der Proof-of-Concept liest nur die Daten aus, auf die User zugreifen können, und sendet sie zurück an den gefälschten Server. Das Ganze ist mit nur einer serverseitigen Änderung möglich.

Verdächtig ist den IT-Sicherheitsforschern nicht die eine zwielichte Zeile an Code, führen sie aus, sondern die Kombination aus hoher Installationsanzahl mit Zugriff auf alle Seiten, ein aus der Ferne kontrollierbarer Pfad zum Einschleusen von Code und frühere Werbeeinschleusungsinfrastruktur, größere Besitzer- und Codebasis-Änderungen und damit verbundene Erweiterungen, die wegen Malwareanzeichen aus dem Chrome Web Store geworfen wurden. Sie wiederholen, dass sie keinen konkreten Missbrauch beobachtet haben, aber ein Risikoprofil, das ernsthafte Aufmerksamkeit benötigt.

Etwa in Unternehmen sollte keine allgemeine Blockade aller Werbeblocker erfolgen, da gute tatsächlich nützlich seien. Sie liefern eine Handreichung sowie Anzeichen für Vorhandensein der Erweiterung in Form von Indicators of Compromise (IOC).

Mitte Februar hatte die IT-Forschergemeinschaft „Q Continuum“ hunderte Erweiterungen entdeckt, teils ebenfalls mit Millionen von Installationen, die ihre Nutzer ausspähen und etwa den Browserverlauf der Nutzer an ihre Hersteller senden.

(dmk)

Angesichts des Totalausfalls bei der Deutschen Bahn nach einer Störung des Bahnfunks plädieren Sicherheitspolitiker für einen Ausschluss chinesischer Komponenten von kritischer Infrastruktur. „Es ist ein grundsätzliches Problem in Deutschland, dass wir im Bereich kritischer Infrastruktur große Abhängigkeiten von chinesischen Komponenten haben und bereits jetzt viele chinesische Komponenten verbaut sind“, sagte der CDU-Politiker Roderich Kiesewetter der Augsburger Allgemeinen.

Er halte „ein Verbot des Ein- und Verbaus von Komponenten aller chinesischen Hersteller in kritische Infrastruktur und sicherheitsrelevante Infrastruktur für überfällig“. Dabei gehe es nicht um einzelne Hersteller, sondern um die „grundsätzliche Nicht-Vertrauenswürdigkeit von Staaten wie China“.

Ähnlich äußerte sich der Grünen-Politiker Konstantin von Notz. „Dass in den Systemen der Deutschen Bahn bis heute zahlreiche Komponenten auch aus Ländern zum Einsatz kommen, die unsere kritischen Infrastrukturen gezielt ausspionieren und immer wieder auch sabotieren, ist ein Zustand, an dem schnellstmöglich etwas geändert werden muss“, sagte er der Zeitung.

Bahn schließt Cyberangriff aus

Wegen einer Störung des Bahnfunks musste die Deutsche Bahn am Dienstag den gesamten Zugverkehr anhalten. Tausende Fahrgäste steckten fest, weil Leitstellen und Lokführer plötzlich nicht mehr miteinander über Funk kommunizieren konnten.

Dass die Bahn den Zugverkehr unabhängig vom Wetter komplett stoppen muss, ist äußerst ungewöhnlich. Bei der Wartung einer Kernkomponente des Bahnfunks GSM-R sei ein Fehler aufgetreten, hatte der Chef der Bahn-Infrastrukturgesellschaft DB InfraGo, Philipp Nagl, gesagt. Einen Cyberangriff schloss die Bahn allerdings aus.

Anfang des Jahres hatte bereits die EU-Kommission mit einem Gesetzesvorschlag die Initiative ergriffen, um umstrittene Anbieter von Netzwerktechnik künftig in Deutschland und anderen EU-Staaten verbieten zu können. Bei dem Vorschlag dürfte es insbesondere um chinesische Technologiefirmen wie Huawei und ZTE gehen. Netzbetreiber haben das Vorhaben scharf kritisiert.

Hintergrund ist die Sorge vor Sabotage und Spionage durch Drittstaaten. In dem Entwurf der Kommission werden weder Unternehmen noch Länder genannt. Seit Jahren nachdrücklich wiederholte Empfehlungen der Europäischen Kommission an die EU-Länder, Technik von Huawei und ZTE aus Sicherheitsgründen nicht in ihren Mobilfunknetzen zu verwenden, könnten dadurch verpflichtend werden. Aus Sicht der Behörde schließen bislang zu wenig Länder die beiden Hersteller beim Betrieb von 5G-Mobilfunknetzen aus.

(mho)

Zur Prüfung von IP-Adressen gibt es in der Klasse System.Net.IPAddress schon seit .NET Framework 2.0 die statische Methode TryParse(), die eine IP-Adresse aus einer Zeichenkette extrahiert.

Seit .NET Core 2.1 ist die Extraktion auch aus dem Typ ReadOnlySpan möglich. Der Rückgabewert ist ein bool-Wert und die extrahierte IP-Adresse wird in Form einer Instanz der Klasse IPAddress als out-Parameter geliefert. Wenn man nur prüfen will, ob die IP-Adresse stimmt, schreibt man IPAddress.TryParse(eingabe, out _).

In .NET 10.0 bietet Microsoft nun in der statischen Methode IsValid() eine weitere Prüfungsvariante mit weniger internem Aufwand. Folgender Code vergleicht IsValid() mit TryParse():

/// 

/// IsValid mit ReadOnlySpan oder ReadOnlySpan als Alternative zu IPAddress.TryParse(span, out _)
/// 
public void Run()
{
 CUI.Demo("IPAddress.IsValid()");

 string IP1 = "192.168.1.0"; // gültige IPv4-Adresse
 CUI.H2(IP1);

 // --- Alt
 var valid1 = IPAddress.TryParse(IP1, out _);
 Console.WriteLine("TryParse: " + valid1); // true

 // --- Neu
 System.Console.WriteLine("IsValid: " + System.Net.IPAddress.IsValid(IP1)); // true

 string IP2 = "192.168.256.1"; // ungültige IPv4-Adresse
 CUI.H2(IP2);

 // --- Alt
 var valid2 = IPAddress.TryParse(IP2, out _);
 Console.WriteLine("TryParse: " + valid2); // false

 // --- Neu
 System.Console.WriteLine("IsValid: " + System.Net.IPAddress.IsValid(IP2)); // false
}

Dafür kehrt Microsoft nun einfach eine bisher interne Methode TargetHostNameHelper.IsValidAddress() nach außen, wie sich dem Issue auf GitHub entnehmen lässt.

(rme)