Mastodon Mastodon Mastodon Mastodon

В расширении Adblock for YouTube с 10 млн установок обнаружен спящий механизм удалённого внедрения скриптов

Фото автора

CyberSecureFox Editorial Team

Опубликовано:

Исследователи компании Island выявили, что браузерное расширение Adblock for YouTube (идентификатор cmedhionkhpnakcndndgjdbohmhepckk) содержит спящий механизм, позволяющий выполнять произвольный JavaScript-код на любых посещаемых пользователем сайтах. Расширение, доступное в Chrome Web Store с отметкой «Featured» и более чем 10 миллионами установок, на момент анализа не доставляло вредоносных команд — однако вся необходимая инфраструктура для атаки уже встроена в код и может быть активирована одним изменением серверной конфигурации. Пользователям рекомендуется немедленно удалить расширение и перейти на проверенные альтернативы.

Архитектура скрытой угрозы

По данным исследователей Island, расширение действительно выполняет свою заявленную функцию — блокирует рекламу на YouTube. Однако параллельно в нём реализован удалённый механизм внедрения скриптов, архитектурно отделённый от основной функциональности блокировки.

Ключевой элемент механизма — кастомное правило trusted-create-element, которое, как сообщается, присутствует в расширении с февраля 2025 года. Это правило позволяет создавать произвольные элементы <script> и получать доступ к конфиденциальным данным на странице. Принципиально важно, что для активации этого механизма достаточно изменить конфигурацию на управляющем сервере — повторная проверка в Chrome Web Store и обновление расширения при этом не требуются.

Это означает, что стандартный процесс ревью Google, через который проходят обновления расширений, полностью обходится. Код уже прошёл проверку и установлен на устройствах пользователей — остаётся лишь «включить рубильник» на сервере.

Избыточные права и ошибки валидации URL

Отдельную проблему представляет модель разрешений расширения. Несмотря на название, указывающее на работу исключительно с YouTube, расширение запрашивает и получает права на выполнение на всех посещаемых пользователем сайтах.

По данным исследователей, логика активации расширения срабатывает при обнаружении строки youtube.com в любом месте URL — без проверки имени хоста или источника фрейма. Это открывает возможность для атак с использованием адресов вида:

  • bank.example.com/search?q=youtube.com
  • internal.corp.com/redirect?from=youtube.com

Таким образом, злоумышленник может спровоцировать выполнение кода расширения на произвольном сайте, просто включив строку «youtube.com» в параметры URL — в поисковый запрос, параметр редиректа или путь.

Оценка потенциального воздействия

По оценке Island, в случае активации механизм потенциально позволяет:

  • Читать содержимое любых открытых страниц, включая банковские интерфейсы и корпоративные панели
  • Похищать данные форм, токены авторизации и cookies
  • Выполнять действия от имени пользователя в личных аккаунтах, рабочих приложениях и административных панелях

Масштаб потенциального ущерба определяется базой в более чем 10 миллионов установок. При этом наличие значка «Featured» в Chrome Web Store создаёт у пользователей ложное чувство безопасности — этот значок воспринимается как знак качества и проверки со стороны Google.

Важная оговорка: исследователи подчёркивают, что на момент проведения анализа не обнаружили доказательств активного использования механизма для доставки вредоносных нагрузок. Сервер не отдавал команды на активацию правила trusted-create-element. Угроза остаётся потенциальной, а не подтверждённо эксплуатируемой.

Историческая справка

По данным исследователей, расширение Adblock for YouTube появилось в Chrome Web Store в 2014 году. Ранние версии, как сообщается, содержали рекламный SDK Unistream, который внедрял рекламу на страницы сайтов — ирония для инструмента, предназначенного для блокировки рекламы. Этот компонент был удалён в июне 2024 года.

Следует отметить, что ряд исторических деталей, включая смену владельца расширения и связь с другими удалёнными из Chrome Web Store блокировщиками, основан на данных единственного исследования Island и не подтверждён независимыми источниками. Официального заявления Google по данному инциденту на момент публикации не поступало.

Рекомендации

Учитывая характер обнаруженного механизма, рекомендуется следующий порядок действий:

  1. Немедленно удалите расширение Adblock for YouTube (идентификатор cmedhionkhpnakcndndgjdbohmhepckk) через меню управления расширениями Chrome (chrome://extensions).
  2. Проведите аудит установленных расширений — проверьте запрашиваемые разрешения. Расширение, заявляющее работу с одним сайтом, но запрашивающее доступ ко всем, — тревожный сигнал.
  3. Перейдите на проверенные альтернативы с открытым исходным кодом — uBlock Origin остаётся наиболее прозрачным решением для блокировки рекламы.
  4. Для корпоративных сред: используйте групповые политики Chrome (ExtensionInstallBlocklist) для принудительного удаления расширения на управляемых устройствах и рассмотрите внедрение белых списков разрешённых расширений.
  5. Смените пароли для критичных сервисов, если расширение было установлено длительное время — как мера предосторожности, несмотря на отсутствие подтверждённой эксплуатации.

Данный случай демонстрирует фундаментальную слабость модели безопасности браузерных расширений: код, прошедший ревью при публикации, может радикально изменить своё поведение через серверную конфигурацию без повторной проверки. Пока Google не внедрит механизмы контроля динамически загружаемых правил и серверных конфигураций расширений, единственная надёжная защита — минимизация количества установленных расширений и предпочтение решений с открытым исходным кодом и активным аудитом сообщества.


CyberSecureFox Editorial Team

Редакция CyberSecureFox освещает новости кибербезопасности, уязвимости, malware-кампании, ransomware-активность, AI security, cloud security и security advisories вендоров. Материалы готовятся на основе official advisories, данных CVE/NVD, уведомлений CISA, публикаций вендоров и открытых отчётов исследователей. Статьи проверяются перед публикацией и обновляются при появлении новых данных.

Оставьте комментарий

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.