Mastodon Mastodon Mastodon Mastodon

Analyse: Versteckter Skript-Mechanismus in Adblock for YouTube

Foto des Autors

CyberSecureFox Editorial Team

Veröffentlicht:

Forschende des Unternehmens Island haben aufgedeckt, dass die Browser-Erweiterung Adblock for YouTube (Identifikator cmedhionkhpnakcndndgjdbohmhepckk) einen schlafenden Mechanismus enthält, der die Ausführung beliebigen JavaScript-Codes auf allen vom Nutzer besuchten Websites ermöglicht. Die Erweiterung, die im Chrome Web Store mit dem Label „Featured“ und mehr als 10 Millionen Installationen verfügbar ist, lieferte zum Zeitpunkt der Analyse zwar noch keine schädlichen Befehle aus – jedoch ist die gesamte für einen Angriff nötige Infrastruktur bereits im Code verankert und kann durch eine einzige Änderung der Serverkonfiguration aktiviert werden. Nutzerinnen und Nutzern wird empfohlen, die Erweiterung umgehend zu entfernen und auf vertrauenswürdige Alternativen umzusteigen.

Architektur der verborgenen Bedrohung

Nach Angaben der Island-Forschenden erfüllt die Erweiterung zwar tatsächlich ihre deklarierte Funktion – sie blockiert Werbung auf YouTube. Parallel dazu ist jedoch ein entfernter Mechanismus zur Skript-Injektion implementiert, der architektonisch von der eigentlichen Blockierlogik getrennt ist.

Das zentrale Element dieses Mechanismus ist eine benutzerdefinierte Regel namens trusted-create-element, die den Angaben zufolge seit Februar 2025 in der Erweiterung enthalten ist. Diese Regel ermöglicht das Erstellen beliebiger <script>-Elemente und den Zugriff auf vertrauliche Daten der Seite. Entscheidend ist, dass zur Aktivierung dieses Mechanismus eine Änderung der Konfiguration auf dem Steuerungsserver ausreicht – eine erneute Überprüfung im Chrome Web Store oder ein Update der Erweiterung ist dafür nicht nötig.

Dies bedeutet, dass der standardmäßige Review-Prozess von Google, den Erweiterungs-Updates durchlaufen, vollständig umgangen wird. Der Code hat die Prüfung bereits bestanden und ist auf den Geräten der Nutzer installiert – es bleibt lediglich, „den Schalter umzulegen“ und den Mechanismus serverseitig zu aktivieren.

Übermäßige Berechtigungen und Fehler bei der URL-Validierung

Ein weiteres Problem stellt das Berechtigungsmodell der Erweiterung dar. Trotz ihres Namens, der eine ausschließliche Arbeit mit YouTube suggeriert, fordert und erhält die Erweiterung das Recht, auf allen vom Nutzer besuchten Websites ausgeführt zu werden.

Nach Erkenntnissen der Forschenden wird die Logik zur Aktivierung der Erweiterung ausgelöst, sobald die Zeichenfolge youtube.com an einer beliebigen Stelle der URL gefunden wird – ohne Prüfung des Hostnamens oder der Herkunft des Frames. Dies eröffnet die Möglichkeit zu Angriffen mit Adressen wie:

  • bank.example.com/search?q=youtube.com
  • internal.corp.com/redirect?from=youtube.com

So kann ein Angreifer die Ausführung des Erweiterungscodes auf einer beliebigen Website erzwingen, indem er einfach die Zeichenfolge „youtube.com“ in die URL-Parameter einbaut – etwa in eine Suchanfrage, einen Redirect-Parameter oder den Pfad.

Einschätzung der potenziellen Auswirkungen

Nach Einschätzung von Island erlaubt der Mechanismus im Falle einer Aktivierung potenziell:

  • das Auslesen der Inhalte beliebiger geöffneter Seiten, einschließlich Bankoberflächen und Unternehmens-Backends
  • den Diebstahl von Formulardaten, Authentifizierungstokens und Cookies
  • die Ausführung von Aktionen im Namen des Nutzers in persönlichen Konten, Arbeitsanwendungen und Administrationspanels

Das mögliche Schadensausmaß ergibt sich aus der Basis von mehr als 10 Millionen Installationen. Zugleich vermittelt das „Featured“-Abzeichen im Chrome Web Store den Nutzerinnen und Nutzern ein trügerisches Sicherheitsgefühl – dieses Label wird als Qualitäts- und Prüfsiegel seitens Google wahrgenommen.

Wichtiger Hinweis: Die Forschenden betonen, dass sie zum Zeitpunkt der Analyse keine Belege für einen aktiven Einsatz des Mechanismus zur Auslieferung schädlicher Nutzlasten gefunden haben. Der Server lieferte keine Befehle zur Aktivierung der trusted-create-element-Regel aus. Die Bedrohung ist somit potenziell, aber bislang nicht nachweislich ausgenutzt.

Historischer Hintergrund

Nach Angaben der Forschenden erschien die Erweiterung Adblock for YouTube im Jahr 2014 im Chrome Web Store. In frühen Versionen war dem Vernehmen nach das Werbe-SDK Unistream enthalten, das Werbung in Webseiten einblendete – eine Ironie für ein Werkzeug, das eigentlich Werbung blockieren soll. Diese Komponente wurde im Juni 2024 entfernt.

Es ist zu beachten, dass mehrere historische Details – einschließlich eines Besitzerwechsels der Erweiterung und eines möglichen Zusammenhangs mit anderen aus dem Chrome Web Store entfernten Adblockern – ausschließlich auf den Daten der Island-Analyse basieren und nicht durch unabhängige Quellen bestätigt sind. Eine offizielle Stellungnahme von Google zu diesem Vorfall lag zum Zeitpunkt der Veröffentlichung nicht vor.

Empfehlungen

Angesichts der Art des entdeckten Mechanismus wird folgendes Vorgehen empfohlen:

  1. Entfernen Sie die Erweiterung umgehend Adblock for YouTube (Identifikator cmedhionkhpnakcndndgjdbohmhepckk) über das Erweiterungsmenü von Chrome (chrome://extensions).
  2. Führen Sie ein Audit der installierten Erweiterungen durch – prüfen Sie die angeforderten Berechtigungen. Eine Erweiterung, die nur auf einer Website arbeiten will, aber Zugriff auf alle Websites verlangt, ist ein ernstzunehmendes Warnsignal.
  3. Wechseln Sie zu vertrauenswürdigen Alternativen mit Open Source – uBlock Origin bleibt die transparenteste Lösung für Werbeblockierung.
  4. Für Unternehmensumgebungen: Nutzen Sie die Gruppenrichtlinien von Chrome (ExtensionInstallBlocklist), um die Erweiterung auf verwalteten Geräten zwangsweise zu entfernen, und prüfen Sie die Einführung von Whitelists für zugelassene Erweiterungen.
  5. Ändern Sie Passwörter für kritische Dienste, falls die Erweiterung über einen längeren Zeitraum installiert war – als Vorsichtsmaßnahme, trotz des fehlenden Nachweises einer aktiven Ausnutzung.

Dieser Fall verdeutlicht eine grundlegende Schwäche des Sicherheitsmodells von Browser-Erweiterungen: Code, der bei der Veröffentlichung den Review-Prozess durchlaufen hat, kann sein Verhalten durch serverseitige Konfigurationen radikal ändern, ohne erneut geprüft zu werden. Solange Google keine Mechanismen zur Kontrolle dynamisch geladener Regeln und serverseitiger Konfigurationen von Erweiterungen einführt, besteht der einzige verlässliche Schutz darin, die Anzahl installierter Erweiterungen zu minimieren und Lösungen mit offenem Quellcode und aktiver Community-Prüfung zu bevorzugen.


CyberSecureFox Editorial Team

Die CyberSecureFox-Redaktion berichtet über Cybersecurity-News, Schwachstellen, Malware-Kampagnen, Ransomware-Aktivitäten, AI Security, Cloud Security und Security Advisories von Herstellern. Die Beiträge werden auf Grundlage von official advisories, CVE/NVD-Daten, CISA-Meldungen, Herstellerveröffentlichungen und öffentlichen Forschungsberichten erstellt. Artikel werden vor der Veröffentlichung geprüft und bei neuen Informationen aktualisiert.

Schreibe einen Kommentar

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre, wie deine Kommentardaten verarbeitet werden.