Uma análise de uma popular extensão de bloqueio de anúncios do Google Chrome para o YouTube revelou a possibilidade de executar código JavaScript arbitrário.
Segundo a Island, a extensão, chamada Adblock for YouTube (ID: cmedhionkhpnakcndndgjdbohmhepckk), tem mais de 10 milhões de instalações e exibe o selo Featured na Chrome Web Store.
A descrição da extensão informa que ela permite impedir a exibição de elementos da página, como anúncios e até anúncios antes do vídeo, na plataforma de compartilhamento de vídeos e também em sites externos que incorporam o YouTube.
Embora o complemento entregue a funcionalidade prometida, ele também inclui recursos capazes de executar código JavaScript arbitrário.
"Ele também contém os ingredientes arquitetônicos para a execução de JavaScript arbitrário em qualquer site, acionada por uma única mudança de configuração no servidor, sem atualização da extensão, sem revisão da loja e sem qualquer sinal visível de que algo mudou", afirmaram os pesquisadores Oleg Zaytsev e Shachar Gritzman em relatório compartilhado.
"Na prática, isso poderia significar ler páginas, roubar dados e agir em nome do usuário dentro de contas pessoais, aplicativos corporativos, painéis administrativos e outras sessões sensíveis do navegador."
Vale destacar que não há evidências de que um payload malicioso tenha sido distribuído aos usuários dessa forma.
Ainda assim, a simples presença desse recurso, somada aos vínculos com outras extensões de bloqueio de anúncios que depois foram removidas da loja por malware, aumenta os riscos à privacidade e à segurança, acrescentou a Island.
A lista de extensões relacionadas que foram removidas inclui:
Adblock for Chrome (ID: onomjaelhagjjojbkcafidnepbfkpnee)
Adblock for You (ID: ogcaehilgakehloljjmajoempaflmdci)
AdBlock Suite (ID: gekoepiplklhniacchbbgbhilidiojmb)
A Adblock for YouTube está na Chrome Web Store desde 2014, tendo começado como um bloqueador básico de anúncios no YouTube antes de mudar de proprietário quatro anos depois.
Versões iniciais da extensão foram identificadas com um SDK de injeção de anúncios chamado Unistream SDK, removido em junho de 2024.
O que permaneceu constante foi a presença de caminhos de injeção remota de scripts desde fevereiro de 2025, abrindo espaço para a criação de elementos `<script>` arbitrários por meio de uma regra de scriptlet personalizada, chamada "trusted-create-element", definida pelo autor da extensão e capaz, por sua vez, de acessar dados sensíveis.
"No momento da análise, trusted-create-element não estava ativo na resposta do servidor", explicaram os pesquisadores.
"A capacidade está adormecida, não ausente.
Para ativá-la, basta uma única mudança no servidor, sem atualização da extensão e sem revisão da loja."
O risco aumenta porque extensões bloqueadoras de anúncios normalmente solicitam permissões amplas para inspecionar requisições, alterar páginas, ocultar elementos e ajustar seu comportamento à medida que os sistemas de anúncios evoluem.
Especificamente, foi identificado que, apesar do nome, a extensão é executada em todos os sites visitados pelo usuário no navegador, adicionando uma verificação que só é ativada quando a URL atual contém "youtube.com".
Na prática, porém, essa checagem apenas confirma se a string correspondente a "youtube.com" aparece em qualquer parte da URL, sem validar o hostname, a origem do frame ou o contexto do player incorporado.
Isso significa que a verificação pode ser contornada de forma trivial ao inserir youtube.com em qualquer parte da URL, como mostram os padrões abaixo:
www.facebook.com/page?ref=youtube.com
bank.example.com/search?q=youtube.com
internal.corp.com/redirect?from=youtube.com
"A preocupação não é uma única linha de código suspeita", disse a Island.
"É a combinação: uma extensão com milhões de instalações e acesso a todos os sites, um caminho de injeção controlado remotamente, infraestrutura anterior de injeção de anúncios, uma grande mudança de propriedade e de base de código, e extensões relacionadas que foram removidas da Chrome Web Store por malware."
A revelação ocorre no momento em que a Palo Alto Networks Unit 42 informou ter detectado 18 extensões de navegador que se passavam por marcas de consumo com o objetivo de monetização por meio de marketing de afiliados.
"Ao serem instaladas, todas as extensões abrem o domínio .shop em uma nova aba", afirmou a Unit 42.
"O domínio .shop redireciona para outro domínio.
Esse domínio apresenta uma página informando que são necessárias etapas adicionais.
A página menciona problemas de incompatibilidade e solicita que os usuários instalem um navegador voltado para jogos."
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...