Независимият изследовател по информационна сигурност Армин Себастиан се е натъкнал на уязвимост в Adblock Plus – най-популярното браузърно разширение за блокиране на онлайн реклама и проследяващи мрежи. Успешното експлоатиране на слабостта може да позволи на атакуващата страна да влезе във входящата кутия на Gmail на потребителя, да чете писма и да получи поглед и над други услуги на Google, които ползва жертвата.
Себастиан е открил, че хакер може посредством Adblock Plus да инжектира зловреден код в някои услуги на Google, сред които Gmail, Images и Maps, като самата атака е трудно да бъде засечена.
Въпросната уязвимост е била представена в Adblock Plus с версия, публикувана в началото на юли миналата година. Проблемът се крие в представените тогава нови възможности за филтрираща възможност за презапис на заявките. Себастиан открил, че при някои обстоятелства, $rewrite опцията може да помогне на управляващия списъци за филтриране да инжектира случаен код в уебстраниците.
„Филтърната опция $rewrite се използва от някои блокатори на реклама, за да бъде премахната проследяващата информация и се блокират реклами чрез пренасочване на заявките. Опцията позволява презапис само в контекста на същия произход и заявките от типа SCRIPT, SUBDOCUMENT, OBJECT и OBJECT_SUBREQUEST не биват обработвани“, пише Себастиан.
Той пише, че потенциално застрашени от този бъг са над 100 милиона потребители и дадената характеристика не е трудно да бъде експлоатирана с цел атака над коя да е достатъчно сложна уеб услуга, в това число и тази на Google. Атаките са трудни за засичане и могат да бъдат да изпълнени към всеки от известните браузъри.
