- 27,833
- 46
- 8 Ноя 2022
Специалисты нашли замаскированный алгоритм, который тихо ждёт своего часа.
Когда веб-расширение получает доступ ко всем сайтам, даже неактивная возможность запускать код по команде превращается в риск для пользователей. Специалисты Island обнаружили такую архитектуру в популярном расширении Adblock for <span class="blocked-highlight" title="Соцсеть заблокирована на территории РФ">YouTube</span> для Google Chrome, которое установили более 10 млн раз и которое получило отметку Featured в Chrome Web Store.
Расширение действительно блокирует рекламу на YouTube и на внешних сайтах со встроенными роликами, но вместе с основной функцией содержит механизм для запуска произвольного JavaScript-кода . По данным Island, сценарий можно было активировать всего одной серверной настройкой, без обновления расширения, новой проверки магазина и заметных признаков для пользователя.
Подтверждений, что разработчики уже распространяли таким способом вредоносную нагрузку, нет. Риск связан с самим набором возможностей: расширение имеет доступ ко всем сайтам, умеет менять страницы и получает команды с удалённой стороны. В худшем сценарии такой механизм позволил бы читать содержимое страниц, забирать данные и действовать от имени пользователя в личных аккаунтах, рабочих сервисах или административных панелях.
Дополнительные вопросы вызывает история расширения. Adblock for YouTube появился в Chrome Web Store ещё в 2014 году, позже сменил владельца, а ранние версии содержали SDK для подмешивания рекламы. Такой компонент убрали в июне 2024 года, но с февраля 2025 года в коде оставались пути для удалённого внедрения скриптов. Связанные расширения Adblock for Chrome, Adblock for You и AdBlock Suite ранее уже удаляли из магазина из-за вредоносной активности.
Отдельная проблема кроется в проверке адреса страницы. Хотя расширение связано с YouTube, оно запускается на каждом посещённом сайте и лишь ищет строку «youtube.com» в URL. Такая проверка не сверяет реальный домен и может сработать даже на банковской, корпоративной или любой другой странице, если нужная строка окажется в параметрах адреса.
Разработчику расширения направили запрос на комментарий, но ответа не последовало. На момент анализа Island речь шла о спящей возможности, а не о подтверждённой атаке на пользователей, однако сочетание большой аудитории, широких разрешений и удалённого управления делает подобные расширения серьёзным источником риска.
Когда веб-расширение получает доступ ко всем сайтам, даже неактивная возможность запускать код по команде превращается в риск для пользователей. Специалисты Island обнаружили такую архитектуру в популярном расширении Adblock for <span class="blocked-highlight" title="Соцсеть заблокирована на территории РФ">YouTube</span> для Google Chrome, которое установили более 10 млн раз и которое получило отметку Featured в Chrome Web Store.
Расширение действительно блокирует рекламу на YouTube и на внешних сайтах со встроенными роликами, но вместе с основной функцией содержит механизм для запуска произвольного JavaScript-кода . По данным Island, сценарий можно было активировать всего одной серверной настройкой, без обновления расширения, новой проверки магазина и заметных признаков для пользователя.
Подтверждений, что разработчики уже распространяли таким способом вредоносную нагрузку, нет. Риск связан с самим набором возможностей: расширение имеет доступ ко всем сайтам, умеет менять страницы и получает команды с удалённой стороны. В худшем сценарии такой механизм позволил бы читать содержимое страниц, забирать данные и действовать от имени пользователя в личных аккаунтах, рабочих сервисах или административных панелях.
Дополнительные вопросы вызывает история расширения. Adblock for YouTube появился в Chrome Web Store ещё в 2014 году, позже сменил владельца, а ранние версии содержали SDK для подмешивания рекламы. Такой компонент убрали в июне 2024 года, но с февраля 2025 года в коде оставались пути для удалённого внедрения скриптов. Связанные расширения Adblock for Chrome, Adblock for You и AdBlock Suite ранее уже удаляли из магазина из-за вредоносной активности.
Отдельная проблема кроется в проверке адреса страницы. Хотя расширение связано с YouTube, оно запускается на каждом посещённом сайте и лишь ищет строку «youtube.com» в URL. Такая проверка не сверяет реальный домен и может сработать даже на банковской, корпоративной или любой другой странице, если нужная строка окажется в параметрах адреса.
Разработчику расширения направили запрос на комментарий, но ответа не последовало. На момент анализа Island речь шла о спящей возможности, а не о подтверждённой атаке на пользователей, однако сочетание большой аудитории, широких разрешений и удалённого управления делает подобные расширения серьёзным источником риска.
- Источник новости
- www.securitylab.ru
