Popularno proširenje za blokiranje oglasa u Chromeu skriva opasan kod

Sigurnosni istraživači na Islandu nedavno su detaljnije proučili iznimno popularan alat „Adblock za YouTube“. Iako dodatak pouzdano obavlja svoj posao i uklanja oglase s platforme i vanjskih web-mjesta, njegova arhitektura krije ozbiljan sigurnosni rizik. Kod omogućuje udaljeno skriptiranje i izvršavanje na bilo kojoj web-stranici koju posjetite.

Stručnjaci ističu da to u praksi znači mogućnost čitanja sadržaja stranice, krađe podataka, pa čak i upravljanja osobnim i poslovnim računima u ime korisnika. Trenutno nema dokaza da je ova ranjivost već zloupotrijebljena za napade. Međutim, samo postojanje takve funkcije, uz poveznice na druge uklonjene programe, dovoljno je velik razlog za zabrinutost. Chrome Store je nedavno uklonio povezane dodatke poput „Adblock for Chrome“, „Adblock for You“ i „AdBlock Suite“ zbog zlonamjernog koda.

Ekstenzija je dostupna u službenoj web trgovini od 2014. godine, ali vlasništvo se promijenilo četiri godine kasnije. Između 2018. i lipnja 2024. sadržavala je Unistream SDK za "ubrizgavanje" oglasa, a od veljače 2025. uključuje mehanizme za pokretanje vanjskih skripti. Alat koristi biblioteku otvorenog koda AdGuard s malim funkcijama koje se nazivaju "scriptleti". Problem nastaje jer poslužitelj određuje koji će se od njih pokrenuti. Funkcija "trusted-create-element" može stvoriti HTML element na stranici, a ako poslužitelj pošalje zlonamjerni kod, on glatko radi u pozadini. Istraživači upozoravaju da je ova mogućnost trenutno neaktivna, ali se može aktivirati jednom promjenom na poslužitelju programera, bez Googleovog pregleda ili ažuriranja samog dodatka.

Dodatna zabrinutost je da ekstenzija radi na svim web stranicama, jer je sigurnosna provjera URL-a površna. Kod provjerava samo postoji li niz "youtube.com" bilo gdje u adresi, što znači da se lako može prevariti adresama poput bank.example.com/search?q=youtube.com ili facebook.com/page?ref=youtube.com.

Nakon javnog objavljivanja izvješća, Mathias Rochus, osnivač tvrtke AdBlock Ltd., odgovorio je. Uvjeravao je da značajke nikada nisu bile zloupotrijebljene i da neće biti zloupotrijebljene te je najavio hitno ažuriranje. Ovo će popraviti validaciju URL-a, koja će sada zahtijevati točno podudaranje s YouTube hostom, te onemogućiti ubrizgavanje skripti na strani poslužitelja. Ispravak mora odobriti Google prije nego što može biti objavljen.