Questo post é stato letto 130 volte!
Un’estensione popolare per il blocco degli annunci, ampiamente utilizzata sui browser Chrome, nasconde un meccanismo che potrebbe consentire l’esecuzione di JavaScript arbitrario su qualsiasi sito web visitato.
Basta una modifica lato server per attivare questa funzionalità, senza la necessità di aggiornare l’estensione o di una revisione da parte dello store.
Questa è la conclusione di un’analisi approfondita su Adblock for YouTube, condotta da Island Security, un’azienda specializzata nella sicurezza dei browser in ambito aziendale.
Tale potenziale di iniezione di codice da remoto rappresenta un rischio significativo per gli utenti, evidenziando una vulnerabilità che potrebbe compromettere la sicurezza della navigazione.
La diffusione e le insidie di adblock for youtube
L’estensione in questione gode di notevole popolarità, con oltre 11 milioni di installazioni e un’ottima reputazione, testimoniata da 374.000 recensioni e una valutazione media di 4.4 stelle.
Ha persino ottenuto il “badge Featured” e si posiziona al 31° posto per numero di installazioni nel Chrome Web Store.
I ricercatori Oleg Zaytsev e Shachar Gritzman non hanno riscontrato la distribuzione di payload malevoli al momento dell’analisi.
Tuttavia, lo scriptlet responsabile dell’iniezione, denominato trusted-create-element, era inattivo nella risposta del server.
Permessi estesi e rischi nascosti
Il primo campanello d’allarme riguarda i permessi richiesti dall’estensione.
Nonostante dichiari di bloccare gli annunci solo su YouTube, richiede l’accesso a “
Il controllo che dovrebbe limitare l’esecuzione alle pagine di YouTube si basa su una semplice espressione regolare che verifica la presenza della stringa “youtube.com” nell’URL, senza validare l’hostname o l’origine del frame.
Questo significa che un indirizzo come bank.example.com/search?q=youtube.com supererebbe il controllo senza problemi, esponendo potenzialmente dati sensibili.
Il meccanismo di attivazione e le sue implicazioni
Il processo di attivazione di questa potenziale iniezione di codice è sorprendentemente semplice.
Ogni 24 ore, l’estensione scarica la propria configurazione da un endpoint remoto.
La risposta include un campo, “scripletsRules”, che determina quali scriptlet eseguire e con quali parametri.
I ricercatori hanno dimostrato, attraverso un proof of concept su un server di prova locale, come un piccolo cambiamento nella risposta del server possa portare all’iniezione dello scriptlet.
Questo permette di esfiltrare dati dell’account, inizialmente su YouTube e poi su altri siti come Salesforce, semplicemente sfruttando URL contenenti la stringa “youtube.com”.
Un passato problematico e collegamenti sospetti
L’estensione è presente sul Chrome Web Store dal 2017.
Intorno al 2018, ha cambiato proprietà ed è stata sostanzialmente riscritta, passando da poche centinaia di migliaia a oltre dieci milioni di utenti.
Versioni precedenti includevano lo Unistream SDK, un kit per l’iniezione di annunci associato ad attività adware, rimosso nel giugno 2024.
Percorsi per l’iniezione di script controllati da remoto sono stati rilevati almeno dal febbraio 2025.
Esiste inoltre un legame con altre estensioni problematiche: Adblock for Chrome, Adblock for You e AdBlock Suite, tutte rimosse da Google per malware in quanto riconducibili alla stessa infrastruttura.
Island Security sottolinea che l’architettura attuale dell’estensione rende possibile un attacco in qualsiasi momento.
La revisione dello store non ha rilevato questo potenziale rischio, e per gli utenti non ci sarebbe alcun segnale visibile di un’attivazione malevola.
Pertanto, chi utilizza Adblock for YouTube dovrebbe considerare seriamente la sua rimozione, data la richiesta di accesso a tutti i siti, che da sola suggerisce un approccio estremamente prudenziale.
Questo post é stato letto 130 volte!