Priljubljeni Chrome dodatek za blokiranje oglasov skriva nevarno kodo

Varnostni raziskovalci podjetja Island so nedavno pod drobnogled vzeli izjemno priljubljeno orodje “Adblock for YouTube”. Kljub temu, da dodatek zanesljivo opravlja svoje delo in odstranjuje oglase s platforme ter zunanjih strani, njegova arhitektura skriva resno varnostno tveganje. Koda namreč omogoča oddaljen prenos in izvajanje poljubnih skript na kateri koli spletni strani, ki jo obiščete.

Strokovnjaki poudarjajo, da to v praksi pomeni možnost prebiranja vsebine strani, kraje podatkov in celo upravljanja osebnih ter poslovnih računov v imenu uporabnika. Trenutno sicer ni dokazov, da bi bila ta ranljivost že zlorabljena za napade. Kljub temu pa je že samo obstoj takšne funkcije, skupaj s povezavami do drugih odstranjenih programov, dovolj velik razlog za skrb. Trgovina Chrome je namreč zaradi zlonamerne kode pred kratkim že odstranila sorodne dodatke, kot so “Adblock for Chrome”, “Adblock for You” in “AdBlock Suite”.

Omenjena razširitev je v uradni spletni trgovini prisotna že od leta 2014, lastništvo pa se je zamenjalo štiri leta kasneje. Med letoma 2018 in junijem 2024 je vsebovala programski paket Unistream SDK za »vbrizgavanje« oglasov, od februarja 2025 pa vsebuje mehanizme za zagon zunanjih programskih skript. Orodje uporablja odprtokodno knjižnico AdGuard z malimi funkcijami, imenovanimi “scriptlets”. Težava nastane, ker strežnik določa, kateri izmed njih se bodo zagnali. Funkcija “trusted-create-element” lahko ustvari element HTML na strani, in če strežnik vanjo pošlje zlonamerno kodo, ta nemoteno deluje v ozadju. Raziskovalci opozarjajo, da je ta zmožnost trenutno speča, a jo je mogoče aktivirati z eno samo spremembo na strežniku razvijalca, brez pregleda podjetja Google ali posodobitve samega dodatka.

Dodatno skrb vzbuja dejstvo, da razširitev deluje na vseh spletnih mestih, saj je varnostni pregled naslova URL površen. Koda preveri le, ali niz “youtube.com” obstaja kjerkoli v naslovu, kar pomeni, da jo je mogoče enostavno pretentati z naslovi, kot sta bank.example.com/search?q=youtube.com ali facebook.com/page?ref=youtube.com.

Po javni objavi poročila se je odzval Mathias Rochus, ustanovitelj podjetja AdBlock Ltd. Zagotovil je, da funkcije niso nikoli zlorabili in je tudi ne bodo, hkrati pa je napovedal nujno posodobitev. Ta bo popravila preverjanje naslova URL, ki bo sedaj zahtevalo natančno ujemanje gostitelja YouTube, in onemogočila strežniško vbrizgavanje izvedljivih skript. Popravek mora pred izidom odobriti še Google.