Пријави инцидент
Пријави инцидент

Chrome екстензија за блокирање реклами со над 10 милиони инсталации откриена со неактивна можност за вбризгување на скрипти

Објавено: 26.06.2026

Анализа на популарна Google Chrome екстензија за блокирање реклами на YouTube откри дека таа содржи можност за извршување на произволен JavaScript код.

Според компанијата Island, екстензијата Adblock for YouTube (ID: cmedhionkhpnakcndndgjdbohmhepckk) има повеќе од 10 милиони инсталации и ја носи ознаката Featured на Chrome Web Store.

Во описот на екстензијата се наведува дека им овозможува на корисниците да ги блокираат рекламите на YouTube, вклучително и рекламите што се прикажуваат пред почетокот на видеата (preroll ads), како и рекламите на веб-страници што вчитуваат YouTube содржини.

Иако екстензијата ја извршува оваа функција, истражувачите откриле дека таа истовремено содржи и функционалност за извршување на произволен JavaScript код.

„Таа ги содржи сите архитектонски предуслови за извршување на произволен JavaScript код на која било веб-страница. Доволна е една промена во конфигурацијата на серверот за да се активира оваа можност, без потреба од ажурирање на екстензијата, без повторна проверка од Chrome Web Store и без корисникот да забележи дека нешто се променило“, наведуваат истражувачите Олег Зајцев и Шахар Грицман во извештај споделен со The Hacker News.

„Во пракса, тоа би можело да значи читање на содржината на веб-страниците, кражба на податоци и преземање активности во име на корисникот во неговите лични сметки, деловни апликации, административни панели и други чувствителни сесии во прелистувачот.“

Засега нема докази за злоупотреба

Истражувачите нагласуваат дека во моментов нема докази дека преку оваа функционалност бил испорачан злонамерен код до корисниците.

Сепак, самото постоење на ваква можност, заедно со поврзаноста со други екстензии за блокирање реклами кои подоцна биле отстранети од Chrome Web Store поради присуство на малициозен софтвер, претставува значителен ризик за приватноста и безбедноста.

Поврзани екстензии што биле отстранети

Истражувачите наведуваат дека следните поврзани екстензии претходно биле отстранети од продавницата:

  • Adblock for Chrome (ID: onomjaelhagjjojbkcafidnepbfkpnee)
  • Adblock for You (ID: ogcaehilgakehloljjmajoempaflmdci)
  • AdBlock Suite (ID: gekoepiplklhniacchbbgbhilidiojmb)

Историја на екстензијата

Adblock for YouTube е достапна на Chrome Web Store уште од 2014 година. Првично била едноставна екстензија за блокирање реклами на YouTube, но четири години подоцна го променила сопственикот.

Истражувачите откриле дека во своите рани верзии екстензијата содржела Unistream SDK – комплет за развој на софтвер (SDK) наменет за вметнување реклами. Овој SDK бил отстранет во јуни 2024 година.

Иако во моментот нема индикации дека екстензијата активно ја злоупотребува можноста за извршување на произволен JavaScript код, безбедносните експерти предупредуваат дека ваквата архитектура претставува потенцијален ризик, бидејќи би можела да овозможи идни злонамерни активности без корисниците да добијат ново ажурирање или да забележат каква било промена.

Она што останало непроменето е присуството на патеки за далечински контролирано вбризгување на скрипти уште од февруари 2025 година, што отвора можност за креирање на произволни HTML <script> елементи преку специјално правило за скрипти (scriptlet) наречено trusted-create-element, дефинирано од авторот на екстензијата. Ова правило, пак, може да добие пристап до чувствителни податоци.

„Во моментот кога ја извршивме анализата, trusted-create-element не беше активен во одговорот што го испраќаше серверот“, објаснуваат истражувачите. „Функционалноста е неактивна (дормантна), а не отстранета. За нејзино активирање е потребна само една промена на страната на серверот, без ажурирање на екстензијата и без нова проверка од Chrome Web Store.“

Дополнителен ризик поради широките дозволи

Ризикот е уште поголем бидејќи екстензиите за блокирање реклами обично бараат широки дозволи за:

  • следење и анализа на веб-барањата;
  • менување на содржината на веб-страниците;
  • сокривање на елементи;
  • динамичко приспособување на нивното однесување како што се менуваат системите за прикажување реклами.

Истражувачите откриле дека, спротивно на своето име, екстензијата не работи само на YouTube, туку се извршува на секоја веб-страница што корисникот ја посетува.

Во кодот постои проверка што треба да ја активира функционалноста само кога тековната URL адреса содржи „youtube.com“.

Меѓутоа, оваа проверка не го потврдува вистинскиот домен, потеклото на рамката (frame origin) или дали станува збор за вграден YouTube плеер. Наместо тоа, таа само проверува дали низата „youtube.com“ се појавува каде било во URL адресата.

Тоа значи дека проверката може лесно да се заобиколи со вметнување на текстот „youtube.com“ во параметар од URL адресата, на пример:

www.facebook.com/page?ref=youtube.com
bank.example.com/search?q=youtube.com
internal.corp.com/redirect?from=youtube.com

Комбинацијата на фактори предизвикува загриженост

„Загриженоста не произлегува од една сомнителна линија код“, велат од Island.

„Проблемот е комбинацијата од повеќе фактори: екстензија со повеќе од 10 милиони инсталации и пристап до сите веб-страници, механизам за далечински контролирано вбризгување на код, претходна инфраструктура за инјектирање реклами, значителна промена на сопственоста и изворниот код, како и поврзани екстензии кои беа отстранети од Chrome Web Store поради присуство на малициозен софтвер.“

The Hacker News соопшти дека стапил во контакт со развивачот на екстензијата за да добие официјален коментар и најави дека ќе ја ажурира информацијата доколку добие одговор.

Откриени и други сомнителни екстензии

Ова откритие доаѓа во период кога Unit 42 на Palo Alto Networks објави дека идентификувал 18 екстензии за веб-прелистувачи кои се претставувале како познати потрошувачки брендови со цел да заработуваат преку affiliate marketing.

„По инсталирањето, сите овие екстензии отвораат ново јазиче со домен од типот .shop“, наведува Unit 42.

„Потоа доменот .shop го пренасочува корисникот кон друга веб-страница, на која се прикажува порака дека е потребна дополнителна акција. Страницата тврди дека постојат проблеми со компатибилноста и ги повикува корисниците да инсталираат веб-прелистувач наменет за гејминг.“

Извори:

  • The Hacker News – Chrome Ad Blocker with 10M+ Installs Found with Dormant Script Injection Capability The Hacker News