Eine beliebte Chrome-Werbeblocker-Erweiterung verbirgt gefährlichen Code.

Sicherheitsforscher von Island haben kürzlich das äußerst beliebte Tool „Adblock for YouTube“ genauer unter die Lupe genommen. Obwohl das Add-on zuverlässig Werbung von der Plattform und externen Seiten entfernt, birgt seine Architektur ein ernstes Sicherheitsrisiko. Der Code ermöglicht das Ausführen von Skripten auf jeder besuchten Website.

Experten weisen darauf hin, dass dies in der Praxis die Möglichkeit bietet, Seiteninhalte zu lesen, Daten zu stehlen und sogar private und geschäftliche Konten im Namen des Nutzers zu verwalten. Bislang gibt es keine Hinweise darauf, dass diese Sicherheitslücke bereits für Angriffe ausgenutzt wurde. Die bloße Existenz einer solchen Funktion in Verbindung mit Verknüpfungen zu anderen entfernten Programmen ist jedoch Grund genug zur Besorgnis. Der Chrome Web Store hat kürzlich aufgrund von Schadcode entsprechende Add-ons wie „Adblock for Chrome“, „Adblock for You“ und „AdBlock Suite“ entfernt.

Die Erweiterung ist seit 2014 im offiziellen Webstore verfügbar, wechselte jedoch vier Jahre später den Besitzer. Zwischen 2018 und Juni 2024 enthielt sie das Unistream SDK zum Einbinden von Werbung, seit Februar 2025 bietet sie Mechanismen zum Ausführen externer Skripte. Das Tool nutzt die Open-Source-Bibliothek AdGuard mit kleinen Funktionen, sogenannten „Scriptlets“. Das Problem entsteht dadurch, dass der Server bestimmt, welche dieser Funktionen ausgeführt werden. Die Funktion „trusted-create-element“ kann ein HTML-Element auf einer Seite erstellen, und wenn der Server diesem Element Schadcode sendet, wird dieser unbemerkt im Hintergrund ausgeführt. Die Forscher warnen, dass diese Funktion derzeit inaktiv ist, aber durch eine einzige Änderung auf dem Server des Entwicklers aktiviert werden kann – ohne Googles Prüfung oder ein Update des Add-ons selbst.

Ein weiteres Problem besteht darin, dass die Erweiterung auf allen Websites funktioniert, da die URL-Sicherheitsprüfung oberflächlich ist. Der Code prüft lediglich, ob die Zeichenkette „youtube.com“ irgendwo in der Adresse vorkommt. Das bedeutet, dass er leicht mit Adressen wie bank.example.com/search?q=youtube.com oder facebook.com/page?ref=youtube.com umgangen werden kann.

Nach der Veröffentlichung des Berichts reagierte Mathias Rochus, Gründer von AdBlock Ltd. Er versicherte, dass die Funktionen nie missbraucht wurden und auch zukünftig nicht missbraucht werden, und kündigte ein dringendes Update an. Dieses Update behebt die URL-Validierung, die nun eine exakte Übereinstimmung mit dem YouTube-Host erfordert, und deaktiviert die serverseitige Skripteinschleusung. Die Korrektur muss vor der Veröffentlichung noch von Google genehmigt werden.