Специалисты компании Island обнаружили, что популярное браузерное расширение Adblock for YouTube может выполнять произвольный jаvascript-код на любых сайтах. При этом аддон насчитывает более 10 млн установок и имеет отметку «Featured» в Chrome Web Store.

Исследователи рассказывают, что расширение с идентификатором cmedhionkhpnakcndndgjdbohmhepckk действительно блокирует рекламу на YouTube. Однако в его архитектуре предусмотрен удаленный механизм для внедрения скриптов. Чтобы активировать его, достаточно изменить конфигурацию на сервере, а повторная проверка в Chrome Web Store и обновление расширения не потребуются.

Так, с февраля 2025 года в расширение используется кастомное правило trusted-create-element, позволяющее создавать произвольные элементы и обращаться к конфиденциальным данным на странице. Во время проведения анализа сервер не отдавал команды для активации этого правила, однако весь необходимый код в расширении есть.

По словам исследователей, такой механизм потенциально позволяет читать содержимое страниц, похищать данные и выполнять действия от имени пользователя в личных аккаунтах, рабочих приложениях и административных панелях.

При этом специалисты не обнаружили доказательств того, что разработчики расширения уже использовали эту функциональность для распространения вредоносных пейлоадов. Механизм остается неактивным, однако легко может быть включен на стороне сервера без каких-либо видимых признаков для пользователей.

Отмечается, что Adblock for YouTube появилось в Chrome Web Store еще в 2014 году, а спустя четыре года расширение сменило владельца. Ранние версии содержали рекламный SDK Unistream, который внедрял рекламу на страницы сайтов, но этот компонент удалили в июне 2024 года.

По словам исследователей, риски усиливаются из-за широких прав, которыми обладает Adblock for YouTube. Несмотря на название, расширение запускается на всех посещаемых пользователем сайтах. Его функции активируются, если строка youtube.com встречается где-либо в URL, причем hostname и источник фрейма не проверяются. То есть для атаки можно использовать адреса вроде bank.example[.]com/search?q=youtube.com или internal.corp[.]com/redirect?from=youtube.com.

Также в Island подчеркивают, что связали расширение с тремя другими блокировщиками рекламы — Adblock for Chrome, Adblock for You и AdBlock Suite. Все они уже удалены из официального магазина Chrome как вредоносные.