热门 Chrome 广告拦截扩展程序隐藏危险代码

Island 的安全研究人员最近对广受欢迎的“YouTube 广告拦截器”进行了深入研究。虽然这款插件能够可靠地屏蔽 YouTube 平台及其外部网站上的广告，但其架构却隐藏着严重的安全隐患。该插件的代码允许攻击者远程执行脚本，并对您访问的任何网站进行攻击。

专家指出，这实际上意味着攻击者可以读取页面内容、窃取数据，甚至以用户的名义管理个人和企业账户。目前尚无证据表明该漏洞已被用于攻击。然而，仅仅是这种功能的存在，以及它与其他已被移除程序的链接，就足以令人担忧。Chrome 应用商店最近已因恶意代码而下架了“Adblock for Chrome”、“Adblock for You”和“AdBlock Suite”等相关插件。

该扩展程序自 2014 年起便在官方应用商店上架，但四年后所有权发生变更。2018 年至 2024 年 6 月期间，它包含用于“注入”广告的 Unistream SDK；自 2025 年 2 月起，它又加入了启动外部脚本的机制。该工具使用开源的 AdGuard 库，其中包含名为“scriptlets”的小函数。问题在于服务器会决定启动哪些脚本。“trusted-create-element”函数可以在页面上创建一个 HTML 元素，如果服务器向该元素发送恶意代码，它就能在后台顺利运行。研究人员警告说，目前该功能处于休眠状态，但只需在开发者服务器上进行一次更改即可激活，无需谷歌审核或更新插件本身。

另一个令人担忧的问题是，该扩展程序适用于所有网站，因为其网址安全检查非常肤浅。代码仅检查地址中是否存在字符串“youtube.com”，这意味着它很容易被类似 bank.example.com/search?q=youtube.com 或 facebook.com/page?ref=youtube.com 这样的地址欺骗。

报告公开后，AdBlock Ltd.创始人马蒂亚斯·罗库斯(Mathias Rochus)做出回应。他保证这些功能从未被滥用，将来也不会被滥用，并宣布将进行紧急更新。此次更新将修复URL验证问题，使其要求YouTube主机地址完全匹配，并禁用服务器端脚本注入。该修复程序必须经谷歌批准后才能发布。