Исследователи компании Island выявили, что браузерное расширение Adblock for YouTube (идентификатор cmedhionkhpnakcndndgjdbohmhepckk) содержит спящий механизм, позволяющий выполнять произвольный JavaScript-код на любых посещаемых пользователем сайтах. Расширение, доступное в Chrome Web Store с отметкой «Featured» и более чем 10 миллионами установок, на момент анализа не доставляло вредоносных команд — однако вся необходимая инфраструктура для атаки уже встроена в код и может быть активирована одним изменением серверной конфигурации. Пользователям рекомендуется немедленно удалить расширение и перейти на проверенные альтернативы.
Архитектура скрытой угрозы
По данным исследователей Island, расширение действительно выполняет свою заявленную функцию — блокирует рекламу на YouTube. Однако параллельно в нём реализован удалённый механизм внедрения скриптов, архитектурно отделённый от основной функциональности блокировки.
Ключевой элемент механизма — кастомное правило trusted-create-element, которое, как сообщается, присутствует в расширении с февраля 2025 года. Это правило позволяет создавать произвольные элементы <script> и получать доступ к конфиденциальным данным на странице. Принципиально важно, что для активации этого механизма достаточно изменить конфигурацию на управляющем сервере — повторная проверка в Chrome Web Store и обновление расширения при этом не требуются.
Это означает, что стандартный процесс ревью Google, через который проходят обновления расширений, полностью обходится. Код уже прошёл проверку и установлен на устройствах пользователей — остаётся лишь «включить рубильник» на сервере.
Избыточные права и ошибки валидации URL
Отдельную проблему представляет модель разрешений расширения. Несмотря на название, указывающее на работу исключительно с YouTube, расширение запрашивает и получает права на выполнение на всех посещаемых пользователем сайтах.
По данным исследователей, логика активации расширения срабатывает при обнаружении строки youtube.com в любом месте URL — без проверки имени хоста или источника фрейма. Это открывает возможность для атак с использованием адресов вида:
bank.example.com/search?q=youtube.cominternal.corp.com/redirect?from=youtube.com
Таким образом, злоумышленник может спровоцировать выполнение кода расширения на произвольном сайте, просто включив строку «youtube.com» в параметры URL — в поисковый запрос, параметр редиректа или путь.
Оценка потенциального воздействия
По оценке Island, в случае активации механизм потенциально позволяет:
- Читать содержимое любых открытых страниц, включая банковские интерфейсы и корпоративные панели
- Похищать данные форм, токены авторизации и cookies
- Выполнять действия от имени пользователя в личных аккаунтах, рабочих приложениях и административных панелях
Масштаб потенциального ущерба определяется базой в более чем 10 миллионов установок. При этом наличие значка «Featured» в Chrome Web Store создаёт у пользователей ложное чувство безопасности — этот значок воспринимается как знак качества и проверки со стороны Google.
Важная оговорка: исследователи подчёркивают, что на момент проведения анализа не обнаружили доказательств активного использования механизма для доставки вредоносных нагрузок. Сервер не отдавал команды на активацию правила trusted-create-element. Угроза остаётся потенциальной, а не подтверждённо эксплуатируемой.
Историческая справка
По данным исследователей, расширение Adblock for YouTube появилось в Chrome Web Store в 2014 году. Ранние версии, как сообщается, содержали рекламный SDK Unistream, который внедрял рекламу на страницы сайтов — ирония для инструмента, предназначенного для блокировки рекламы. Этот компонент был удалён в июне 2024 года.
Следует отметить, что ряд исторических деталей, включая смену владельца расширения и связь с другими удалёнными из Chrome Web Store блокировщиками, основан на данных единственного исследования Island и не подтверждён независимыми источниками. Официального заявления Google по данному инциденту на момент публикации не поступало.
Рекомендации
Учитывая характер обнаруженного механизма, рекомендуется следующий порядок действий:
- Немедленно удалите расширение Adblock for YouTube (идентификатор
cmedhionkhpnakcndndgjdbohmhepckk) через меню управления расширениями Chrome (chrome://extensions). - Проведите аудит установленных расширений — проверьте запрашиваемые разрешения. Расширение, заявляющее работу с одним сайтом, но запрашивающее доступ ко всем, — тревожный сигнал.
- Перейдите на проверенные альтернативы с открытым исходным кодом — uBlock Origin остаётся наиболее прозрачным решением для блокировки рекламы.
- Для корпоративных сред: используйте групповые политики Chrome (
ExtensionInstallBlocklist) для принудительного удаления расширения на управляемых устройствах и рассмотрите внедрение белых списков разрешённых расширений. - Смените пароли для критичных сервисов, если расширение было установлено длительное время — как мера предосторожности, несмотря на отсутствие подтверждённой эксплуатации.
Данный случай демонстрирует фундаментальную слабость модели безопасности браузерных расширений: код, прошедший ревью при публикации, может радикально изменить своё поведение через серверную конфигурацию без повторной проверки. Пока Google не внедрит механизмы контроля динамически загружаемых правил и серверных конфигураций расширений, единственная надёжная защита — минимизация количества установленных расширений и предпочтение решений с открытым исходным кодом и активным аудитом сообщества.