Плагин Adblock for YouTube может выполнять произвольный JavaScript‑код на любых сайтах

Популярное браузерное плагин Adblock for YouTube может выполнять произвольный JavaScript‑код на любых сайтах. Как рассказали эксперты компании Island, расширение действительно блокирует рекламу на YouTube, но в его архитектуре есть удалённый механизм для внедрения скриптов, который можно активировать изменением конфигурации на сервере без повторной проверки в магазине и без обновления расширения.

С февраля 2025 года в коде используется кастомное правило trusted‑create‑element, которое даёт возможность создавать элементы <script> и обращаться к конфиденциальным данным на странице. В соответствии с заявлению исследователей, такой алгоритм потенциально даёт возможности ознакомиться содержимое страниц, похищать информация и выполнять действия от имени пользователя в личных аккаунтах, рабочих приложениях и административных панелях. 

Несмотря на название, расширение запускается на всех посещаемых сайтах. Его функции активируются, если в URL встречается строка youtube.com, одновременно hostname и ресурс фрейма не проверяются. Это значит, что для атаки можно использовать адреса вроде bank.example[.]com/search?q=youtube.com или internal.corp[.]com/redirect?from=youtube.com.

Хотя аддон насчитывает более 10 млн установок, специалисты не нашли доказательств, что авторы уже использовали эту функциональность для распространения вредоносных пейлоадов. Алгоритм сейчас неактивен, но его можно активировать на стороне сервера без каких‑либо видимых признаков для пользователей.

Island также связала Adblock for YouTube с тремя другими блокировщиками — Adblock for Chrome, Adblock for You и AdBlock Suite. Все они уже удалены из официального магазина Chrome как вредоносные. Эксперты советуют пользователям удалить сомнительные расширения, проверить список установленных аддонов и отдавать предпочтение продуктам с прозрачной репутацией и открытым исходным кодом.