Дослідники компанії Island виявили, що браузерне розширення Adblock for YouTube (ідентифікатор cmedhionkhpnakcndndgjdbohmhepckk) містить «сплячий» механізм, який дає змогу виконувати довільний JavaScript-код на будь-яких сайтах, що їх відвідує користувач. Розширення, доступне в Chrome Web Store з позначкою «Featured» і більш ніж 10 мільйонами встановлень, на момент аналізу не доставляло шкідливих команд — однак усю необхідну інфраструктуру для атаки вже вбудовано в код і її можна активувати однією зміною конфігурації на сервері. Користувачам рекомендовано негайно видалити розширення та перейти на перевірені альтернативи.
Архітектура прихованої загрози
За даними дослідників Island, розширення справді виконує свою заявлену функцію — блокує рекламу на YouTube. Водночас паралельно в ньому реалізовано віддалений механізм упровадження скриптів, архітектурно відокремлений від основної функціональності блокування.
Ключовий елемент механізму — кастомне правило trusted-create-element, яке, за повідомленнями, присутнє в розширенні з лютого 2025 року. Це правило дає змогу створювати довільні елементи <script> і отримувати доступ до конфіденційних даних на сторінці. Принципово важливо, що для активації цього механізму достатньо змінити конфігурацію на керувальному сервері — повторна перевірка в Chrome Web Store і оновлення розширення для цього не потрібні.
Це означає, що стандартний процес рев’ю Google, через який проходять оновлення розширень, повністю обходиться. Код уже пройшов перевірку й установлений на пристроях користувачів — залишається лише «увімкнути рубильник» на сервері.
Надмірні права та помилки валідації URL
Окрему проблему становить модель дозволів розширення. Попри назву, що вказує на роботу виключно з YouTube, розширення запитує та отримує права на виконання на усіх сайтах, які відвідує користувач.
За даними дослідників, логіка активації розширення спрацьовує під час виявлення рядка youtube.com у будь-якому місці URL — без перевірки імені хоста чи джерела фрейма. Це відкриває можливість для атак із використанням адрес на кшталт:
bank.example.com/search?q=youtube.cominternal.corp.com/redirect?from=youtube.com
Таким чином, зловмисник може спровокувати виконання коду розширення на довільному сайті, просто додавши рядок «youtube.com» до параметрів URL — у пошуковий запит, параметр редиректу або шлях.
Оцінка потенційного впливу
За оцінкою Island, у разі активації механізм потенційно дає змогу:
- читати вміст будь-яких відкритих сторінок, включно з банківськими інтерфейсами та корпоративними панелями
- викрадати дані форм, токени авторизації та cookies
- виконувати дії від імені користувача в особистих облікових записах, робочих застосунках та адміністративних панелях
Масштаб потенційної шкоди визначається базою в більш ніж 10 мільйонів встановлень. При цьому наявність значка «Featured» у Chrome Web Store створює в користувачів хибне відчуття безпеки — цей значок сприймається як знак якості та перевірки з боку Google.
Важлива примітка: дослідники наголошують, що на момент проведення аналізу не виявили доказів активного використання механізму для доставки шкідливих навантажень. Сервер не віддавав команди на активацію правила trusted-create-element. Загроза залишається потенційною, а не підтверджено експлуатованою.
Історична довідка
За даними дослідників, розширення Adblock for YouTube з’явилося в Chrome Web Store у 2014 році. Ранні версії, як повідомляється, містили рекламний SDK Unistream, який упроваджував рекламу на сторінки сайтів — іронія для інструмента, призначеного для блокування реклами. Цей компонент було видалено в червні 2024 року.
Варто зазначити, що низка історичних деталей, включно зі зміною власника розширення та зв’язком з іншими блокувальниками, вилученими з Chrome Web Store, базується на даних єдиного дослідження Island і не підтверджена незалежними джерелами. Офіційної заяви Google щодо цього інциденту на момент публікації не надходило.
Рекомендації
З огляду на характер виявленого механізму, рекомендовано такий порядок дій:
- Негайно видаліть розширення Adblock for YouTube (ідентифікатор
cmedhionkhpnakcndndgjdbohmhepckk) через меню керування розширеннями Chrome (chrome://extensions). - Проведіть аудит установлених розширень — перевірте запитувані дозволи. Розширення, що заявляє роботу з одним сайтом, але запитує доступ до всіх, — тривожний сигнал.
- Перейдіть на перевірені альтернативи з відкритим вихідним кодом — uBlock Origin лишається найбільш прозорим рішенням для блокування реклами.
- Для корпоративних середовищ: використовуйте групові політики Chrome (
ExtensionInstallBlocklist) для примусового видалення розширення на керованих пристроях і розгляньте впровадження білих списків дозволених розширень. - Змінить паролі для критичних сервісів, якщо розширення було встановлене тривалий час, — як запобіжний захід, попри відсутність підтвердженої експлуатації.
Цей випадок демонструє фундаментальну вразливість моделі безпеки браузерних розширень: код, що пройшов рев’ю під час публікації, може радикально змінити свою поведінку через серверну конфігурацію без повторної перевірки. Поки Google не впровадить механізми контролю динамічно завантажуваних правил і серверних конфігурацій розширень, єдиний надійний захист — мінімізація кількості встановлених розширень і надання переваги рішенням з відкритим вихідним кодом та активним аудитом спільноти.