Des chercheurs en s\u00e9curit\u00e9 d'Island ont r\u00e9cemment analys\u00e9 en d\u00e9tail l'outil tr\u00e8s populaire \u00ab\u00a0Adblock for YouTube\u00a0\u00bb. Bien que l'extension remplisse parfaitement sa fonction et supprime les publicit\u00e9s de la plateforme et des sites externes, son architecture dissimule une faille de s\u00e9curit\u00e9 importante. Le code permet l'ex\u00e9cution de scripts \u00e0 distance sur n'importe quel site web visit\u00e9.
Les experts soulignent qu'en pratique, cela signifie la possibilit\u00e9 de lire le contenu de la page, de voler des donn\u00e9es et m\u00eame de g\u00e9rer des comptes personnels et professionnels au nom de l'utilisateur. \u00c0 l'heure actuelle, rien ne prouve que cette vuln\u00e9rabilit\u00e9 ait d\u00e9j\u00e0 \u00e9t\u00e9 exploit\u00e9e. Cependant, la simple existence d'une telle fonction, ainsi que les liens vers d'autres programmes supprim\u00e9s, est suffisamment pr\u00e9occupante. Le Chrome Web Store a r\u00e9cemment retir\u00e9 des extensions associ\u00e9es, telles que \u00ab\u00a0Adblock for Chrome\u00a0\u00bb, \u00ab\u00a0Adblock for You\u00a0\u00bb et \u00ab\u00a0AdBlock Suite\u00a0\u00bb, en raison de la pr\u00e9sence de code malveillant.
L'extension est disponible sur la boutique en ligne officielle depuis 2014, mais son propri\u00e9taire a chang\u00e9 quatre ans plus tard. Entre 2018 et juin 2024, elle int\u00e9grait le SDK Unistream pour l'\u00ab injection \u00bb de publicit\u00e9s, et depuis f\u00e9vrier 2025, elle inclut des m\u00e9canismes permettant de lancer des scripts externes. L'outil utilise la biblioth\u00e8que open source AdGuard avec de petites fonctions appel\u00e9es \u00ab scriptlets \u00bb. Le probl\u00e8me r\u00e9side dans le fait que le serveur d\u00e9termine lesquels seront ex\u00e9cut\u00e9s. La fonction \u00ab trusted-create-element \u00bb peut cr\u00e9er un \u00e9l\u00e9ment HTML sur une page, et si le serveur lui envoie du code malveillant, celui-ci s'ex\u00e9cute discr\u00e8tement en arri\u00e8re-plan. Les chercheurs avertissent que cette fonctionnalit\u00e9 est actuellement inactive, mais qu'elle peut \u00eatre activ\u00e9e par une simple modification sur le serveur du d\u00e9veloppeur, sans intervention de Google ni mise \u00e0 jour de l'extension elle-m\u00eame.
Un autre probl\u00e8me r\u00e9side dans le fait que l'extension fonctionne sur tous les sites web, car le contr\u00f4le de s\u00e9curit\u00e9 de l'URL est superficiel. Le code v\u00e9rifie uniquement la pr\u00e9sence de la cha\u00eene \u00ab\u00a0youtube.com\u00a0\u00bb dans l'adresse, ce qui signifie qu'il peut \u00eatre facilement tromp\u00e9 avec des adresses comme bank.example.com\/search?q=youtube.com ou facebook.com\/page?ref=youtube.com.
Suite \u00e0 la publication du rapport, Mathias Rochus, fondateur d'AdBlock Ltd., a r\u00e9agi. Il a assur\u00e9 que les fonctionnalit\u00e9s n'avaient jamais fait l'objet d'abus et n'en feraient pas l'objet, et a annonc\u00e9 une mise \u00e0 jour urgente. Celle-ci corrigera la validation des URL, qui exigera d\u00e9sormais une correspondance exacte avec l'adresse YouTube, et d\u00e9sactivera l'injection de scripts c\u00f4t\u00e9 serveur. Ce correctif doit \u00eatre approuv\u00e9 par Google avant sa mise en ligne.<\/p>","protected":false},"excerpt":{"rendered":"
Varnostni raziskovalci podjetja Island so nedavno pod drobnogled vzeli izjemno priljubljeno orodje “Adblock for YouTube”. Kljub temu, da dodatek zanesljivo opravlja svoje delo in odstranjuje oglase s platforme ter zunanjih strani, njegova arhitektura skriva resno varnostno tveganje. Koda namre\u010d omogo\u010da oddaljen prenos in izvajanje poljubnih skript na kateri koli spletni strani, ki jo obi\u0161\u010dete. Strokovnjaki […]<\/p>","protected":false},"author":2,"featured_media":0,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[70],"tags":[440,478,482],"class_list":["post-7741","post","type-post","status-publish","format-standard","hentry","category-spletni-brskalniki","tag-chrome-brskalnik","tag-informacijska-varnost","tag-kibernetska-varnost"],"acf":{"subtitle":"","heading":"","summary":"Raziskava raz\u0161iritve \"Adblock for YouTube\" z 10 milijoni prenosov je razkrila spe\u010do funkcijo za oddaljen zagon zlonamerne kode na vseh spletnih straneh. Razvijalci podjetja AdBlock Ltd so po opozorilu \u017ee napovedali izdajo varnostnega popravka.","thumbnail_small":"https:\/\/racunalniske-novice.com\/wp-content\/uploads\/2021\/03\/130321_ChromeRAM-560x315.jpg","thumbnail_large":"https:\/\/racunalniske-novice.com\/wp-content\/uploads\/2021\/03\/130321_ChromeRAM.jpg","thumbnail_caption":"Novi Google Chrome je precej prijaznej\u0161i do sistemskega pomnilnika!","gallery":"","video_gallery":null,"author":"","links":null,"sources":[{"title":"thehackernews","url":"https:\/\/thehackernews.com\/2026\/06\/chrome-ad-blocker-with-10m-installs.html?m=1"}],"skip_language":[]},"yoast_head":"\n