- 27,907
- 46
- 8 Ноя 2022
Проверка Island показала, что Adblock for YouTube с 11 млн установок получает удалённые правила и способен выполнять скрипты внутри авторизованных сессий.
Популярное расширение для блокировки рекламы на <span class="blocked-highlight" title="Соцсеть заблокирована на территории РФ">YouTube</span> оказалось гораздо опаснее, чем выглядит на странице Chrome Web Store. Исследователи Island разобрали Adblock for YouTube и нашли архитектуру, которая позволяет превратить привычный блокировщик рекламы в инструмент для выполнения JavaScript на сайтах, где пользователь уже авторизован. Для запуска такой цепочки не нужна новая версия расширения, повторная проверка магазина или заметное предупреждение в браузере.
Adblock for YouTube установили более 11 миллионов раз. Расширение держит рейтинг 4,4 звезды, собрало сотни тысяч отзывов и действительно блокирует рекламу на YouTube. На первый взгляд перед пользователем обычный узкий инструмент под одну задачу, но внутри расширение просит доступ ко всем сайтам через разрешение <code><all_urls></code>. Такой доступ открывает дорогу к веб-почте, банковским страницам, корпоративным SaaS-сервисам, админкам и внутренним панелям.
Разработчики предусмотрели проверку, которая должна ограничивать работу расширения страницами YouTube. Проблема в реализации. Код ищет строку <code>youtube.com</code> в полном URL, а не проверяет домен, источник фрейма или настоящий контекст видеоплеера. Поэтому фильтр срабатывает даже на сторонних сайтах, если <code>youtube.com</code> попал в параметр ссылки, строку поиска или редирект.
Главная опасность связана с удалённой конфигурацией. Раз в сутки расширение обращается к серверу <code>api.adblock-for-youtube.com</code> и получает правила блокировки рекламы. Вместе с обычными фильтрами сервер может передавать правила для так называемых скриптлетов, небольших JavaScript-функций. По данным Island, текущая архитектура позволяет серверу выбрать нужный скриптлет и передать код, который затем выполнится в основном контексте страницы.
Исследователи проверили сценарий на контролируемом стенде. Расширение сначала запускало скрипт на YouTube, затем открывало Salesforce со строкой <code>youtube.com</code> в параметрах URL. Из-за слабой проверки расширение снова считало страницу подходящей для инъекции и запускало код уже внутри авторизованной сессии Salesforce. В демонстрации скрипт читал доступные пользователю данные аккаунтов и отправлял сведения на тестовый сервер.
Island подчёркивает, что активной вредоносной нагрузки у пользователей исследователи не увидели. Речь идёт не о доказанном массовом взломе, а о возможности, которая уже встроена в рабочее расширение и может проснуться после одного изменения на стороне сервера. Пользователь при таком сценарии не увидит обновления расширения, нового запроса разрешений или отдельной проверки Chrome Web Store.
История расширения только усиливает подозрения. Adblock for YouTube существует в магазине Chrome с 2014 года, а примерно в 2018 году, по данным Island, сменил владельца и заметно изменил кодовую базу. Исследователи также нашли связи с другими рекламными блокировщиками из той же экосистемы. Часть связанных расширений Google позже удалил из Chrome Web Store за вредоносное поведение. В старых версиях Adblock for YouTube также присутствовал SDK Unistream для рекламных инъекций, который убрали в июне 2024 года.
Для обычных пользователей вывод простой. Расширение с миллионами установок и хорошими отзывами не становится безопасным автоматически. Блокировщик рекламы получает необычно широкие права, потому что должен менять страницы и сетевые запросы, но доступ ко всем сайтам плохо сочетается с обещанием «только убрать рекламу на YouTube». Если расширение давно не проверяли, лучше открыть список установленных дополнений, удалить лишние и оставить только понятные инструменты от разработчиков с прозрачной репутацией.
Для компаний риск выше. Браузер давно стал рабочей средой, где сотрудники открывают почту, CRM, облачные хранилища, панели управления и внутренние сервисы. Расширение с доступом к страницам работает не рядом с периметром, а внутри рабочих сессий. Поэтому корпоративным администраторам придётся проверять не только название и рейтинг расширения, но и разрешения, удалённые правила, смену владельцев и способность к инъекции кода после установки.
Популярное расширение для блокировки рекламы на <span class="blocked-highlight" title="Соцсеть заблокирована на территории РФ">YouTube</span> оказалось гораздо опаснее, чем выглядит на странице Chrome Web Store. Исследователи Island разобрали Adblock for YouTube и нашли архитектуру, которая позволяет превратить привычный блокировщик рекламы в инструмент для выполнения JavaScript на сайтах, где пользователь уже авторизован. Для запуска такой цепочки не нужна новая версия расширения, повторная проверка магазина или заметное предупреждение в браузере.
Adblock for YouTube установили более 11 миллионов раз. Расширение держит рейтинг 4,4 звезды, собрало сотни тысяч отзывов и действительно блокирует рекламу на YouTube. На первый взгляд перед пользователем обычный узкий инструмент под одну задачу, но внутри расширение просит доступ ко всем сайтам через разрешение <code><all_urls></code>. Такой доступ открывает дорогу к веб-почте, банковским страницам, корпоративным SaaS-сервисам, админкам и внутренним панелям.
Разработчики предусмотрели проверку, которая должна ограничивать работу расширения страницами YouTube. Проблема в реализации. Код ищет строку <code>youtube.com</code> в полном URL, а не проверяет домен, источник фрейма или настоящий контекст видеоплеера. Поэтому фильтр срабатывает даже на сторонних сайтах, если <code>youtube.com</code> попал в параметр ссылки, строку поиска или редирект.
Главная опасность связана с удалённой конфигурацией. Раз в сутки расширение обращается к серверу <code>api.adblock-for-youtube.com</code> и получает правила блокировки рекламы. Вместе с обычными фильтрами сервер может передавать правила для так называемых скриптлетов, небольших JavaScript-функций. По данным Island, текущая архитектура позволяет серверу выбрать нужный скриптлет и передать код, который затем выполнится в основном контексте страницы.
Исследователи проверили сценарий на контролируемом стенде. Расширение сначала запускало скрипт на YouTube, затем открывало Salesforce со строкой <code>youtube.com</code> в параметрах URL. Из-за слабой проверки расширение снова считало страницу подходящей для инъекции и запускало код уже внутри авторизованной сессии Salesforce. В демонстрации скрипт читал доступные пользователю данные аккаунтов и отправлял сведения на тестовый сервер.
Island подчёркивает, что активной вредоносной нагрузки у пользователей исследователи не увидели. Речь идёт не о доказанном массовом взломе, а о возможности, которая уже встроена в рабочее расширение и может проснуться после одного изменения на стороне сервера. Пользователь при таком сценарии не увидит обновления расширения, нового запроса разрешений или отдельной проверки Chrome Web Store.
История расширения только усиливает подозрения. Adblock for YouTube существует в магазине Chrome с 2014 года, а примерно в 2018 году, по данным Island, сменил владельца и заметно изменил кодовую базу. Исследователи также нашли связи с другими рекламными блокировщиками из той же экосистемы. Часть связанных расширений Google позже удалил из Chrome Web Store за вредоносное поведение. В старых версиях Adblock for YouTube также присутствовал SDK Unistream для рекламных инъекций, который убрали в июне 2024 года.
Для обычных пользователей вывод простой. Расширение с миллионами установок и хорошими отзывами не становится безопасным автоматически. Блокировщик рекламы получает необычно широкие права, потому что должен менять страницы и сетевые запросы, но доступ ко всем сайтам плохо сочетается с обещанием «только убрать рекламу на YouTube». Если расширение давно не проверяли, лучше открыть список установленных дополнений, удалить лишние и оставить только понятные инструменты от разработчиков с прозрачной репутацией.
Для компаний риск выше. Браузер давно стал рабочей средой, где сотрудники открывают почту, CRM, облачные хранилища, панели управления и внутренние сервисы. Расширение с доступом к страницам работает не рядом с периметром, а внутри рабочих сессий. Поэтому корпоративным администраторам придётся проверять не только название и рейтинг расширения, но и разрешения, удалённые правила, смену владельцев и способность к инъекции кода после установки.
- Источник новости
- www.securitylab.ru
