El análisis de una popular extensión de bloqueo de anuncios de Google Chrome para YouTube revela la capacidad de ejecutar código JavaScript arbitrario.
La extensión, llamada Adblock para YouTube (ID: cmedhionkhpnakcndndgjdbohmhepckk), se ha instalado más de 10 millones de veces y tiene una insignia destacada en Chrome Web Store, según Island.
La descripción de la extensión establece que los usuarios pueden evitar que aparezcan anuncios y otros elementos de la página web, incluidos los anuncios previos al video, en plataformas para compartir videos y sitios externos que cargan YouTube. Este complemento proporciona la funcionalidad prometida, pero también tiene la capacidad de ejecutar código JavaScript arbitrario.
«También incluye elementos arquitectónicos para ejecutar JavaScript arbitrario en cualquier sitio web, activado por un único cambio de configuración del lado del servidor, sin necesidad de actualizaciones de extensiones o revisiones de la tienda, y sin signos visibles de que algo haya cambiado», dijeron los investigadores Oleg Zaitsev y Shachar Gritzman en un informe compartido con Hacker News.
«En términos prácticos, eso podría significar leer páginas, robar datos y actuar como usuario dentro de cuentas personales, aplicaciones de trabajo, paneles de administración y otras sesiones sensibles del navegador».
Eiland agregó que si bien no hay evidencia de que se distribuyeran cargas útiles maliciosas a los usuarios de esta manera, la mera existencia de esta característica, junto con sus vínculos con otras extensiones de bloqueo de anuncios que desde entonces se han eliminado de las tiendas debido al malware, plantea un mayor riesgo de privacidad y seguridad.
A continuación se muestra una lista de extensiones relacionadas que se han eliminado.
Adblock para Chrome (ID: onomjaelhagjjojbkcafidnepbfkpnee) Adblock para usted (ID: ogcaehilgakehloljjmajoempaflmdci) AdBlock Suite (ID: gekoepiplklhniacchbbgbhilidiojmb)
Adblock para YouTube ha estado en Chrome Web Store desde 2014, comenzando como un bloqueador de anuncios básico de YouTube antes de cambiar de propietario cuatro años después. Se descubrió que las primeras versiones de esta extensión se entregaban con un kit de desarrollo de software (SDK) de inyección de anuncios llamado Unistream SDK, que se eliminó en junio de 2024.
Lo que ha sido constante es que desde febrero de 2025 existe una ruta de inyección de scripts para el control remoto y cualquier «
«En el momento del análisis, el elemento de creación confiable no estaba activo en la respuesta del servidor», explicaron los investigadores. «Esta característica está inactiva, pero no ausente. Habilitarla requiere un único cambio en el servidor y no hay actualizaciones de extensiones ni revisiones de la tienda».
Lo que agrava aún más el riesgo es el hecho de que las extensiones de bloqueadores de anuncios suelen solicitar amplios permisos para inspeccionar solicitudes, modificar páginas, ocultar elementos y ajustar su comportamiento a medida que evolucionan los sistemas publicitarios.
Específicamente, descubrimos que, a pesar de su nombre, esta extensión se ejecuta en cada sitio web que un usuario visita en su navegador, agregando una verificación que solo tiene efecto si la URL actual contiene «youtube.com». Sin embargo, esta verificación en realidad solo valida si la cadena correspondiente a «youtube.com» aparece en cualquier lugar de la URL, no el nombre de host, el origen del marco o el contexto del reproductor integrado.
Esto significa que puedes evitar fácilmente la verificación colocando youtube.com en cualquier lugar de la URL, como se muestra en el siguiente patrón de URL:
www.facebook.com/page?ref=youtube.com Banco.example.com/search?q=youtube.com Internal.corp.com/redirect?from=youtube.com
«La preocupación es que no hay una sola línea de código que sea cuestionable», dijo Eiland. «Esta es una combinación de extensiones altamente instaladas que tienen acceso a todos los sitios, una ruta de inyección controlada remotamente, infraestructura de inyección de anuncios anterior, cambios significativos en la propiedad y la base de código, y extensiones relacionadas que se eliminaron de Chrome Web Store debido a malware».
Hacker News se comunicó con el desarrollador de la extensión para solicitar comentarios. Actualizaré el artículo si recibo una respuesta.
La divulgación se produce después de que la división 42 de Palo Alto Networks anunciara que había detectado 18 extensiones de navegador que se hacían pasar por marcas de consumo con el fin de monetizar a través del marketing de afiliación.
«Una vez instaladas, todas las extensiones abren el dominio .shop en una nueva pestaña», dijo la Unidad 42. «El dominio .shop será redirigido a otro dominio. El dominio mostrará una página que indica que se requieren medidas adicionales. La página menciona el problema de incompatibilidad y solicita al usuario que instale un navegador orientado a juegos».
Source link
