广告屏蔽插件，下一个黑客攻击的捷径？

很多网站都很讨厌广告屏蔽软件，因为广告就是它们的收入来源。但受限于商业模式，这些网站只能在广告上动脑筋。

网站主们想了不少对抗手段，比如经常更换广告的域名和IP、把广告放在内容的域名上、使用不同的加载方式。稍有激进者，还会直接起诉屏蔽软件，并告诫用户：小心电脑中毒哦。

这些手段并没能杀死广告屏蔽软件，两边之间的攻防战争还在持续。但网站主们的最后一句话确是有一定道理：广告屏蔽软件控制着我们浏览的网页内容，这是一种非常高的权限，它们一旦出现问题可不止让电脑中病毒。

乌云白帽子@Drizzle.Risk 近日就提交了一个这样的漏洞。Ta发现某款国内广告屏蔽软件的云端可以写入任意脚本，这些脚本规则分发到用户的电脑后，即可以篡改任何想改动的网页。

（图/某个针对乌云网的规则被分发后，该软件所有用户访问乌云都是图中效果）

这个报告中，白帽子是怎样控制云端规则，最终下发给用户的，可以点击“阅读原文”查看原始报告。

漏洞的严重性不用多说，你登录过绝大部分网站的账号密码、cookies、session、提交信息，通过植入规则都可以获取。记住，不是一个人，是这款软件的所有用户哦。

我们为了逃脱漫长无趣的广告而找到屏蔽软件，不过那款软件是否靠谱你知道吗？要知道在国内，有这么高权限的广告屏蔽软件可不止漏洞提到的这一款，在云端更新屏蔽规则的同类软件都有，只是刚好这款软件发现有漏洞，然后被提到明面上来。

国内的广告屏蔽软件基本分为两种，一种是开源、个人驱动；一种是闭源、个人驱动或公司驱动。

前一种很少，而且经常遭遇打包党改造，近年最著名的例子是博客主“鲁夫的爱”（她在博客专门开了一栏“耻辱柱”用以公布打包党名单），那些人拿着源码去掉作者信息加上商业广告和推广链接重新放出；后一种很多，并大多聚集在浏览器扩展中心、浏览器论坛、电脑讨论论坛几处。特别值得一提的是，有一类由商业公司驱动的软件,表现的却像一位神秘隐士，它们不需要用户捐赠、不在论坛说话、不和用户交流，网上没有任何信息，耗费大量精力提供服务不求回报。

广告屏蔽软件属于很难审计的产品，原因有二：一是屏蔽规则是动态更新的，没有用户能每次更新都看一遍；二是某些采用代理技术，规则并不分发到用户端，这类产品像一个黑箱，除非扒开服务器看看，否则谁也没法确认。

有些用户会把安全托付给论坛相熟的开发者，他们给开发者提意见的过程逐步了解人品，觉得可以信赖。大部分人其实茫然不知，只是碰到难以忍受的广告而找到一款软件，用起来觉得效果不错，但是否可以信任，谁care呢？

你在使用广告屏蔽软件的时候，会去了解对方的安全性吗？

后记

这篇没提国外产品，后记里可以说说。AdBlock、AdBlock Plus、NoScript是国外最著名的三个浏览器扩展，它们都是云端规则来屏蔽不合适内容，来看看四则消息。

谷歌微软亚马逊“贿赂”Adblock Plus：绕开广告屏蔽

http://tech.sina.com.cn/i/2015-02-02/doc-ichmifpx6504047.shtml

Adblock Plus创始人谈Adblock更新中隐藏的细节

http://abpchina.org/forum/portal.php?mod=view&aid=16

NoScript也有白名单，但有个域名输错了

http://www.solidot.org/story?sid=44600

商业侵入Firefox扩展：NoScript和Adblock Plus

http://software.solidot.org/article.pl?sid=09/05/02/0928205

提到这四则消息并非否认它们，而是说，如果你想保护自己的隐私和安全，应该去主动了解下其幕后的做法。特别是，当它们都拥有控制上网内容的权限。

参考漏洞：WooYun-2015-128592，目前厂商已修复，点击原文可查看

本文始发于微信公众号（乌云漏洞报告平台）：“广告屏蔽插件”，下一个黑客攻击的捷径？