I ricercatori di sicurezza di Island hanno recentemente esaminato pi\u00f9 da vicino il popolarissimo strumento "Adblock for YouTube". Sebbene l'estensione svolga efficacemente il suo compito, rimuovendo gli annunci dalla piattaforma e dai siti esterni, la sua architettura nasconde un grave rischio per la sicurezza. Il codice consente l'esecuzione di script da remoto su qualsiasi sito web visitato.
Gli esperti sottolineano che in pratica ci\u00f2 significa la possibilit\u00e0 di leggere il contenuto della pagina, rubare dati e persino gestire account personali e aziendali per conto dell'utente. Al momento non ci sono prove che questa vulnerabilit\u00e0 sia gi\u00e0 stata sfruttata per attacchi. Tuttavia, la semplice esistenza di una tale funzione, insieme ai collegamenti ad altri programmi rimossi, \u00e8 gi\u00e0 di per s\u00e9 motivo di grande preoccupazione. Il Chrome Web Store ha recentemente rimosso componenti aggiuntivi correlati come "Adblock for Chrome", "Adblock for You" e "AdBlock Suite" a causa di codice dannoso.
L'estensione \u00e8 disponibile nello store ufficiale di Google dal 2014, ma la propriet\u00e0 \u00e8 cambiata quattro anni dopo. Tra il 2018 e giugno 2024, conteneva l'SDK di Unistream per "iniettare" annunci pubblicitari, e da febbraio 2025 include meccanismi per l'esecuzione di script esterni. Lo strumento utilizza la libreria open-source AdGuard con piccole funzioni chiamate "scriptlet". Il problema sorge perch\u00e9 \u00e8 il server a determinare quale di questi script verr\u00e0 eseguito. La funzione "trusted-create-element" pu\u00f2 creare un elemento HTML su una pagina e, se il server invia codice dannoso, questo viene eseguito in background senza problemi. I ricercatori avvertono che questa funzionalit\u00e0 \u00e8 attualmente inattiva, ma pu\u00f2 essere attivata con una singola modifica sul server dello sviluppatore, senza la revisione di Google o un aggiornamento dell'estensione stessa.
Un ulteriore problema \u00e8 che l'estensione funziona su tutti i siti web, poich\u00e9 il controllo di sicurezza dell'URL \u00e8 superficiale. Il codice verifica solo se la stringa "youtube.com" \u00e8 presente nell'indirizzo, il che significa che pu\u00f2 essere facilmente ingannato con indirizzi come bank.example.com\/search?q=youtube.com o facebook.com\/page?ref=youtube.com.
In seguito alla pubblicazione del rapporto, Mathias Rochus, fondatore di AdBlock Ltd., ha rilasciato una dichiarazione. Ha assicurato che le funzionalit\u00e0 non sono mai state utilizzate in modo improprio e non lo saranno in futuro, annunciando un aggiornamento urgente. Questo aggiornamento corregger\u00e0 la convalida dell'URL, che ora richieder\u00e0 una corrispondenza esatta con l'host di YouTube, e disabiliter\u00e0 l'iniezione di script lato server. La correzione deve essere approvata da Google prima di poter essere rilasciata.<\/p>","protected":false},"excerpt":{"rendered":"
Varnostni raziskovalci podjetja Island so nedavno pod drobnogled vzeli izjemno priljubljeno orodje “Adblock for YouTube”. Kljub temu, da dodatek zanesljivo opravlja svoje delo in odstranjuje oglase s platforme ter zunanjih strani, njegova arhitektura skriva resno varnostno tveganje. Koda namre\u010d omogo\u010da oddaljen prenos in izvajanje poljubnih skript na kateri koli spletni strani, ki jo obi\u0161\u010dete. Strokovnjaki […]<\/p>","protected":false},"author":2,"featured_media":0,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[70],"tags":[440,478,482],"class_list":["post-7741","post","type-post","status-publish","format-standard","hentry","category-spletni-brskalniki","tag-chrome-brskalnik","tag-informacijska-varnost","tag-kibernetska-varnost"],"acf":{"subtitle":"","heading":"","summary":"Raziskava raz\u0161iritve \"Adblock for YouTube\" z 10 milijoni prenosov je razkrila spe\u010do funkcijo za oddaljen zagon zlonamerne kode na vseh spletnih straneh. Razvijalci podjetja AdBlock Ltd so po opozorilu \u017ee napovedali izdajo varnostnega popravka.","thumbnail_small":"https:\/\/racunalniske-novice.com\/wp-content\/uploads\/2021\/03\/130321_ChromeRAM-560x315.jpg","thumbnail_large":"https:\/\/racunalniske-novice.com\/wp-content\/uploads\/2021\/03\/130321_ChromeRAM.jpg","thumbnail_caption":"Novi Google Chrome je precej prijaznej\u0161i do sistemskega pomnilnika!","gallery":"","video_gallery":null,"author":"","links":null,"sources":[{"title":"thehackernews","url":"https:\/\/thehackernews.com\/2026\/06\/chrome-ad-blocker-with-10m-installs.html?m=1"}],"skip_language":[]},"yoast_head":"\n