آیا افزونه‌هایی مثل Adblocker می‌توانند خطرناک باشند؟ اگر به سایت getadblock.com سر بزنید با این شعار روبرو می‌شوید Block Ads. Browse Safer. اما تا چه میزان این شعار به واقعیت نزدیک است؟! آیا واقعا افزونه‌های مسدودسازی تبلیغات، وب گردی را برای کاربران امن می‌کنند یا امنیت آن‌ها را به مخاطره می‌اندازند؟!

اگر به اخبار امنیت سر بزنیم موارد متعددی از سوءاستفاده توسعه دهندگان این ad blockerها را می‌توانیم بیابیم مثل خبری که اواسط اکتبر یعنی همین مهرماه منتشر شد و شعار Block Ads. Browse Safer را به طور کامل نقض کرد. این افزونه که به ظاهر به کاربران کمک می‌کرد در برابر تهدید تبلیغات مخرب در اینترنت در امان باشند خودش لینک‌های آلوده‌ای را به مرورگر قربانیانش تزریق می‌کرد. نحوه سواستفاده این افزونه را می‌توانید در تصویر زیر مشاهده کنید.

در این روش توسعه دهندگان پیوندهای مخرب یا تبلیغاتی که می‌خواهند را به صفحات وبی اضافه می‌کنند که میزبان این لینک‌ها و تبلیغات نیستند، از این طریق پول به دست میاورند و یا مسیر قربانیانشان را به سایت‌های دلخواهشان تغییر داده و کمیسیون دریافت می‌کنند. البته ماجرای افزونه ad blocker مرورگر کروم تنها یکی از صدها خبر منتشر شده از این نوع افزونه‌ها بود که در ظاهر هدفشان افزایش سطح امنیت کاربر است اما در باطن خودشان تهدید امنیتی به حساب می‌آیند.

متخصص امنیت Sun Knudsen بررسی موشکافانه‌ای بر روی یکی از معروف‌ترین وب سایت‌های این حوزه با نام Ad Block انجام داده، وب سایتی که بیش از ۶۵ میلیون کاربر دارد و ادعا می‌کند کمپانی‌هایی مثل Bloomberg نیز از خدماتش استفاده می‌کنند. اگر به نشانی getadblock.com سر بزنید در انتهای صفحه اصلی و در قسمت پاورقی (footer) عبارت License GPL V3 را خواهید دید که مخفف General Public License است و اگر روی آن کلیک کنید به صفحه‌ای منتقل می‌شوید که در آنجا می‌توانید کدهای منبع این افزونه را نیز دانلود کنید که البته به بررسی آن هم خواهیم پرداخت.

حالا برای تحقیق بیشتر در خصوص Ad Block به Github می‌رویم، چیزی که در GitHub در مورد این افزونه با این حجم از کاربر جالب است تعداد فقط دو نفر مشارکت کننده یا Contributor در این پروژه متن باز است، که قضیه را کمی شک برانگیز می‌کند. در خصوص کدها هم باید بگوییم منبع باز هستند و مورد بازبینی قرار گرفته‌اند به جز یک لایه که متعلق به خود کمپانی بوده و تا به حال متخصصی در Github آن را بازبینی نکرده است. البته در خصوص مالک این شرکت هم شک و شبهه‌هایی وجود دارد که اگر به ویکی پدیا مراجعه کنید و یا قسمت معرفی Ad Block را در وب سایت آن و یا در Github مطالعه کنید نام Michael Gundlach را مشاهده خواهید کرد که در سال ۲۰۰۹ آن را بنیان گذاری کرده است اما در سایت‌های خبری مثل TNW می‌توانید خبر انتقال این شرکت به مالکی ناشناس را در سال ۲۰۱۵ بخوانید یعنی در حقیقت مشخص نیست در حال حاضر این کمپانی توسط چه کسانی و با چه هدفی گردانده می‌شود.

در این قسمت نگاهی به دسترسی‌هایی که افزونه از کاربر می‌خواهد می‌اندازیم، همانطوری که در شکل مشاهده می‌کنید توسعه کنندگان پشت این افزونه به تمامی داده‌های شما بر روی مرورگر دسترسی دارند و شما کنترل کاملی را با رضایت خودتان به آن‌ها اهدا کرده‌اید! حالا تصور کنید اگر این توسعه دهندگان اهداف مخربی داشته باشند چه کارهایی می‌توانند با حریم شخصی و امنیت شما در فضای مجازی انجام دهند. Sun Knudsen متخصص امنیت که توسعه دهنده Full-Stack نیز هست به فایل manifest.json نگاهی انداخته، در این فایل تکه کدی وجود دارد که مشخص می‌کند کاربر با دادن دسترسی‌هایی که این افزونه از او می‌خواهد به توسعه دهندگان اجازه دسترسی به فایل‌های سیستمی را نیز می‌دهد و این یعنی یک فاجعه!

اگر بخواهیم با بررسی‌هایی که در خصوص افزونه Ad Block که برای مرورگرهای مختلفی توسعه داده شده است نظر بدهیم باید قبول کنیم استفاده از آن بیشتر از آنکه سطح امنیت کاربر را در هنگام وب گردی بتواند افزایش دهد خود یک تهدید امنیتی جدی به حساب می‌آید. اما آیا در خصوص تمامی افزونه‌هایی که به مرورگر‌ها اضافه می‌شوند این نتیجه را می‌توانیم بگیریم؟!

آرمان داده پویان ارائه دهنده انواع تست نفوذ وب و برنامه‌های کاربردی وب بنیان