Una popolare estensione per Chrome che blocca gli annunci pubblicitari nasconde un codice pericoloso

I ricercatori di sicurezza di Island hanno recentemente esaminato più da vicino il popolarissimo strumento "Adblock for YouTube". Sebbene l'estensione svolga efficacemente il suo compito, rimuovendo gli annunci dalla piattaforma e dai siti esterni, la sua architettura nasconde un grave rischio per la sicurezza. Il codice consente l'esecuzione di script da remoto su qualsiasi sito web visitato.

Gli esperti sottolineano che in pratica ciò significa la possibilità di leggere il contenuto della pagina, rubare dati e persino gestire account personali e aziendali per conto dell'utente. Al momento non ci sono prove che questa vulnerabilità sia già stata sfruttata per attacchi. Tuttavia, la semplice esistenza di una tale funzione, insieme ai collegamenti ad altri programmi rimossi, è già di per sé motivo di grande preoccupazione. Il Chrome Web Store ha recentemente rimosso componenti aggiuntivi correlati come "Adblock for Chrome", "Adblock for You" e "AdBlock Suite" a causa di codice dannoso.

L'estensione è disponibile nello store ufficiale di Google dal 2014, ma la proprietà è cambiata quattro anni dopo. Tra il 2018 e giugno 2024, conteneva l'SDK di Unistream per "iniettare" annunci pubblicitari, e da febbraio 2025 include meccanismi per l'esecuzione di script esterni. Lo strumento utilizza la libreria open-source AdGuard con piccole funzioni chiamate "scriptlet". Il problema sorge perché è il server a determinare quale di questi script verrà eseguito. La funzione "trusted-create-element" può creare un elemento HTML su una pagina e, se il server invia codice dannoso, questo viene eseguito in background senza problemi. I ricercatori avvertono che questa funzionalità è attualmente inattiva, ma può essere attivata con una singola modifica sul server dello sviluppatore, senza la revisione di Google o un aggiornamento dell'estensione stessa.

Un ulteriore problema è che l'estensione funziona su tutti i siti web, poiché il controllo di sicurezza dell'URL è superficiale. Il codice verifica solo se la stringa "youtube.com" è presente nell'indirizzo, il che significa che può essere facilmente ingannato con indirizzi come bank.example.com/search?q=youtube.com o facebook.com/page?ref=youtube.com.

In seguito alla pubblicazione del rapporto, Mathias Rochus, fondatore di AdBlock Ltd., ha rilasciato una dichiarazione. Ha assicurato che le funzionalità non sono mai state utilizzate in modo improprio e non lo saranno in futuro, annunciando un aggiornamento urgente. Questo aggiornamento correggerà la convalida dell'URL, che ora richiederà una corrispondenza esatta con l'host di YouTube, e disabiliterà l'iniezione di script lato server. La correzione deve essere approvata da Google prima di poter essere rilasciata.