Nieuwe generatie adblockers kwetsbaar voor aanvallen
De nieuwe generatie adblockers die advertenties op slimme wijze zouden moeten blokkeren zijn kwetsbaar voor aanvallen waardoor een aanvaller legitieme content bij andere gebruikers kan laten blokkeren. Ook introduceren deze adblockers allerlei ernstige kwetsbaarheden, zoals clickfraude en cross-site request forgery (CSRF), aldus onderzoekers van Stanford University en het Helmholtz Center for Information Security (pdf).
Traditionele adblockers maken gebruik van filterlijsten om advertenties te blokkeren. De nieuwe generatie perceptuele adblockers kijkt naar visuele kenmerken van advertenties of andere aanwijzingen op een website zoals de vermelding van de tekst "sponsored". Volgens de ontwikkelaars van deze adblockers zou dit een einde moeten maken aan de wapenwedloop tussen websites, adverteerders en uitgevers aan de ene kant en adblockers aan de andere kant.
Op dit moment reageren uitgevers en advertentiebedrijven op de filterlijsten van adblockers, waarna adblockers weer een update voor de filterlijst uitbrengen. Via slimme adblockers die naar visuele kenmerken op een pagina kijken zou het gebruik van een filterlijst niet meer nodig zijn en worden alle advertenties geblokkeerd. Het onderzoek van de onderzoekers laat echter zien dat ook deze perceptuele adblockers niet waterdicht zijn.
Door het AdChoices-logo dat bij veel advertenties wordt getoond iets aan te passen konden de conceptuele adblockers worden omzeild. Een aanval met veel grotere gevolgen noemen de onderzoekers "AdBlocker Privilege Hijacking". Hierbij uploadt een kwaadwillende gebruiker materiaal dat ervoor zorgt dat legitiem materiaal van een andere gebruiker als advertentie wordt gezien. Hierdoor wordt dit legitieme materiaal vervolgens bij alle andere gebruikers van de adblocker geblokkeerd.
De onderzoekers waarschuwen ook dat adblockers die naar het gedrag van een pagina kijken ook aanvallen zoals clickfraude, cross-site request forgery en distributed denial of service (ddos) mogelijk kunnen maken. Ontwikkelaars van dergelijke adblockers moeten hier dan ook rekening mee houden. Volgens de onderzoekers is het onderzoek niet bedoeld om de voordelen van adblocking te bagatelliseren of perceptuele adblockers onderuit te halen, maar is het juist bedoeld om de gevonden kwetsbaarheden in de praktijk te voorkomen.
Dat is denk ik wel een goede optie, maar je moet er wel heeel veel in zetten.
En het meest lastige is, dat je het up to date moet houden.
Ik heb zelf de hele zooi van Facebook erin zitten, maar dat zijn heel wat pagina's mijn met domein namen.
Spybot doet dat bijvoorbeeld wel met malware e.d., maar volgens mij niet de advertenties. Misschien is er wel een tool die de gegevens levert voor de reclame meuk, maar dat weet ik niet.
Daarnaast zijn IP adressen/DNS records vloeibaar en is een nummertje zo gewisseld :)
Dan doe je niets anders dan:
Maar een host bestand op elk apparaat steeds te updaten is inefficiënt. Dat doe je via je router met DHCP server, die naar een eigen DNS server wijst. Daar update je de filterlijsten. Dan zijn zelfs gasten die jouw Wifi gebruiken verschoond van reclame.
De commercie commercialiseert zichzelf kapot door reclames door de strot van hun "eigen doelgroep" te persen.
Eigenlijk zou reclame voor een product of dienst een positief gevoel bij een potentiële klant moeten triggeren. Helaas heeft men bedacht reclames agressiever en ongeloofwaardiger te maken door het toepassen van herhaling, audio aanpassingen, reclames tonen vóór een belangrijk nieuws-item en ga zo maar even door.
Een aantal jaren geleden hoorde je nog regelmatig "heb je gisteren toevallig die reclame van **** gezien"? En toegegeven, er waren best leuke commercials bij.
Nu zijn we al zover dat er een "wedloop" gaande is tussen reclame-makers en reclame-blockers. Als er door een "lekje" in een blocker al een commercial wordt getoond zal deze zeker niet positief worden ontvangen.
Helaas denken reclame makers daar blijkbaar anders over en blijven nieuwe methoden ontwikkelen om blockers te omzeilen. Helaas denken reclame-blockers hier ook anders over....etc.
Ik begrijp dat je je product moet aanprijzen en zeker is er een doelgroep die zich aangesproken voelt. Maar wanneer je je product, in blinde paniek zomaar bij elke willekeurige doelgroep op de stoep neer kwakt race je je doel voorbij. Triest dat de commercie zo om denkt te moeten gaan met hun eigen potentiële klanten.
Er is nog een reden voor mij om geen adblockers te gebruiken. Als ik op een site kom waar reclame te zien is die binnen de context van de site logisch is, prima. Bezoek ik een site met reclame die binnen die context minder logisch is of ook gewoon helemaal niet, maar wél met mijn priveleven, dan blijf ik er voortaan van weg. Want dan zit die site gewoon mijn hele surf- klik en leesgedrag ook weer door te geven. Zulke target systemen werken immers twee kanten op.
Juist de banners en zo zien geeft mij een goed beeld van de site waar ik gebruik van maak. Zie ik allemaal reclame met een jezus-hoe-weten-ze-dat-allemaal-nou-zo-snel gehalte, ik heb daar nog geen half uur geleden met iemand over ge-whatsappt of ge-messengerd en ik wordt gelijk doodgesmeten met reclame, precies daarover, dan gaat die site gelijk mijn favorieten uit. En hoe aantrekkelijk die reclame ook lonkt, ik zal er nog niet op klikken. Want de eerste gedachte is natuurlijk: Wat weten die allemaal nog meer over mij dan? Dus daar gaan we sowieso geen zaken mee doen.
Eerlijke reclame is wat anders. Klikt dat nou net wel met mijn interesse of iets wat ik zoek of kopen wil, dan klik ik daar ook op. Reclame die op een serieuze site staat neem ik ook veel serieuzer.
Met een adblocker zou ik dat onderscheid niet meer kunnen maken. En het ziet er niet uit ook. Als een krant kopen in de kiosk, en dan die vent vragen of hij wel eerst even alle reclames eruit kan knippen. Omdat ik niet wil dat iemand heel misschien ook iets verdient aan wat ik lees. Ten eerste krijg je dan een zak confetti mee om te lezen. En ten tweede ben je voor de commercie helemaal een gemakkelijke prooi omdat je uiteindelijk op afbetaling dan toch echt gaat tekenen voor een 58-delige encyclopdie. Ingebonden op goud.
Wat schiet je nou eigenlijk op met een adblocker? Schiet mij maar in de kerstboom. Ik heb nog nooit aan gedacht om er eentje te gaan zoeken. Het is als autorijden met gordijnen voor je voorruit. Omdat als je niks ziet, je ook niks ergs kan overkomen.
Ja alleen wordt het te weinig geïmplementeerd bij bedrijven heb ik de indruk.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.