Добавить в корзинуПозвонить
Найти в Дзене

Почему аддон Adblock for YouTube нужно удалить прямо сейчас?

Исследовательская группа компании Island выявила критическую архитектурную особенность в популярном браузерном расширении Adblock for YouTube, предназначенном для платформы Google Chrome. Данное расширение, насчитывающее более 10 миллионов установок и обладающее статусом «Featured» (Рекомендованное) в официальном магазине Chrome Web Store, содержит недекларированный механизм, позволяющий выполнять произвольный JavaScript-код на любом веб-сайте, посещаемом пользователем. Идентификатор расширения: cmedhionkhpnakcndndgjdbohmhepckk. Несмотря на то что заявленный функционал по блокировке рекламы на платформе YouTube исполняется корректно, архитектура аддона предусматривает возможность удалённого внедрения и исполнения сторонних скриптов. Ключевой риск заключается в том, что активация данной функциональности может быть произведена централизованно путём изменения конфигурации на управляющем сервере разработчиков без необходимости выпуска новой версии расширения и её повторной проверки со стор
Оглавление

Исследовательская группа компании Island выявила критическую архитектурную особенность в популярном браузерном расширении Adblock for YouTube, предназначенном для платформы Google Chrome. Данное расширение, насчитывающее более 10 миллионов установок и обладающее статусом «Featured» (Рекомендованное) в официальном магазине Chrome Web Store, содержит недекларированный механизм, позволяющий выполнять произвольный JavaScript-код на любом веб-сайте, посещаемом пользователем.

Идентификатор расширения: cmedhionkhpnakcndndgjdbohmhepckk.

Несмотря на то что заявленный функционал по блокировке рекламы на платформе YouTube исполняется корректно, архитектура аддона предусматривает возможность удалённого внедрения и исполнения сторонних скриптов. Ключевой риск заключается в том, что активация данной функциональности может быть произведена централизованно путём изменения конфигурации на управляющем сервере разработчиков без необходимости выпуска новой версии расширения и её повторной проверки со стороны модераторов Chrome Web Store.

Технический анализ механизма внедрения кода

Согласно результатам исследования, начиная с февраля 2025 года, кодовая база расширения включает кастомное правило обработки контента под идентификатором trusted-create-element. Данный механизм позволяет динамически создавать произвольные HTML-элементы <script> и внедрять их в структуру DOM-дерева любой открытой страницы. Это предоставляет расширению полный доступ к объектной модели документа (DOM API) и конфиденциальным данным сессии.

В ходе статического анализа было подтверждено наличие соответствующего кода в пакете расширения. На момент проведения исследования управляющий сервер не отдавал команд для активации правила trusted-create-element, вследствие чего вредоносная активность не проявлялась в реальном времени. Однако сам факт наличия готового инструментария для его удалённой активации представляет собой значительную угрозу по типу бэкдора или логической бомбы замедленного действия.

Потенциальные последствия эксплуатации данного механизма включают:

  • Чтение и эксфильтрацию конфиденциальных данных пользователя (личные сообщения, финансовая информация);
  • Доступ к токенам аутентификации и сессионным cookie-файлам;
  • Выполнение несанкционированных действий от имени пользователя в личных аккаунтах, корпоративных приложениях и административных панелях систем.

На данный момент отсутствуют доказательства того, что указанная функциональность уже использовалась разработчиками для доставки вредоносных пейлоадов (payloads). Тем не менее, теоретическая возможность её мгновенной активации на стороне сервера создаёт постоянную скрытую угрозу для обширной пользовательской базы.

Анализ поверхности атаки и избыточных привилегий

Риски, связанные с расширением, усугубляются моделью запрашиваемых им полномочий при установке. Несмотря на узкоспециализированное название, Adblock for YouTube функционирует как расширение общего назначения, получающее доступ к выполнению сценариев на всех без исключения сайтах, которые посещает пользователь.

Логика активации функционала расширения основана на примитивной проверке URL-адреса на наличие строки youtube.com. При этом не производится строгая проверка хоста (hostname) или источника фрейма (frame origin). Данная уязвимость в логике позволяет злоумышленнику спровоцировать выполнение кода расширения на доверенных ресурсах через так называемый параметр-посредник (reflected parameter).

Примеры векторных URL для обхода ограничений:

  • https://bank.example[.]com/search?q=youtube.com;
  • https://internal.corp[.]com/redirect?from=youtube.com.

Таким образом, скрипт, внедрённый через удалённую конфигурацию, будет выполнен в контексте защищённых доменов, включая банковские порталы и внутренние корпоративные ресурсы, где механизмы защиты браузера (Same-Origin Policy) могут оказаться неэффективными из-за легитимного предоставления прав самому расширению.

Исторический контекст и аффилированность

Расширение Adblock for YouTube было опубликовано в Chrome Web Store в 2014 году. В 2018 году произошла смена владельца проекта. Ранние версии программного обеспечения содержали рекламный программный комплекс Unistream, который монетизировался за счёт принудительного показа собственной рекламы на страницах сайтов, однако этот компонент был полностью удалён в июне 2024 года.

Кроме того, специалисты Island установили связь между данным расширением и тремя другими продуктами от предположительно тех же операторов: Adblock for Chrome, Adblock for You и AdBlock Suite. Все перечисленные расширения были впоследствии удалены администрацией Chrome Web Store за нарушение правил и классифицированы как вредоносные. Этот факт указывает на систематический характер деятельности разработчика и повышает вероятность злонамеренного использования оставшегося в каталоге расширения с наибольшей аудиторией.