Расширение Adblock for YouTube может выполнять произвольный JavaScript‑код на любых сайтах

Популярное браузерное расширение Adblock for YouTube может выполнять произвольный JavaScript‑код на любых сайтах. Как рассказали эксперты компании Island, расширение действительно блокирует рекламу на YouTube, но в его архитектуре есть удалённый механизм для внедрения скриптов, который можно активировать изменением конфигурации на сервере без повторной проверки в магазине и без обновления расширения.

С февраля 2025 года в коде используется кастомное правило trusted‑create‑element, которое позволяет создавать элементы <script> и обращаться к конфиденциальным данным на странице. По словам исследователей, такой механизм потенциально даёт возможности читать содержимое страниц, похищать данные и выполнять действия от имени пользователя в личных аккаунтах, рабочих приложениях и административных панелях. 

Несмотря на название, расширение запускается на всех посещаемых сайтах. Его функции активируются, если в URL встречается строка youtube.com, при этом hostname и источник фрейма не проверяются. Это значит, что для атаки можно использовать адреса вроде bank.example[.]com/search?q=youtube.com или internal.corp[.]com/redirect?from=youtube.com.

Хотя аддон насчитывает более 10 млн установок, специалисты не нашли доказательств, что разработчики уже использовали эту функциональность для распространения вредоносных пейлоадов. Механизм сейчас неактивен, но его можно включить на стороне сервера без каких‑либо видимых признаков для пользователей.

Island также связала Adblock for YouTube с тремя другими блокировщиками — Adblock for Chrome, Adblock for You и AdBlock Suite. Все они уже удалены из официального магазина Chrome как вредоносные. Эксперты советуют пользователям удалить сомнительные расширения, проверить список установленных аддонов и отдавать предпочтение продуктам с прозрачной репутацией и открытым исходным кодом.