Прихований бекдор в Adblock for YouTube

Дата29 черв. 2026 р.
Читати3 хв
Прихований бекдор в Adblock for YouTube
Довіра до браузерних розширень дедалі частіше стає «ахіллесовою п’ятою» сучасної кібербезпеки, перетворюючи корисні інструменти на потенційні точки компрометації. Кейс із популярним блокувальником Adblock for YouTube наочно демонструє, наскільки тонкою може бути межа між функціональністю та прихованим шпигунством. Виявлений механізм віддаленого впровадження коду дозволяє обходити стандартні перевірки магазинів додатків, створюючи пряму загрозу конфіденційності мільйонів користувачів. В основі проблеми лежить фундаментальна архітектурна недолік у логіці активації скриптів, що відкриває шлях для повномасштабних атак на будь-які відвідувані ресурси.

Сучасні браузерні розширення володіють надзвичайним рівнем доступу до даних користувача: від вмісту відкритих сторінок до сесійних кукі та паролів. У цьому контексті виявлення прихованого функціоналу в Adblock for YouTube, який має понад 10 мільйонів інсталяцій, викликає серйозне занепокоєння фахівців із кібербезпеки. Дослідники з компанії Island виявили в коді розширення механізм, що дозволяє виконувати довільний JavaScript-код на будь-яких вебсайтах, причому керування цим процесом здійснюється віддалено.

Технічна реалізація цієї можливості базується на кастомному правилі trusted-create-element. За стандартних умов браузери та системи безпеки прагнуть обмежити динамічне створення елементів <script>, щоб запобігти XSS-атакам і впровадженню шкідливого коду. Однак це правило фактично легітимізує створення таких елементів всередині розширення, надаючи йому можливість звертатися до конфіденційних даних на сторінці та маніпулювати контентом у режимі реального часу.

Особливий інтерес викликає спосіб активації цього механізму. Розробники реалізували перевірку URL-адреси, проте зробили її надзвичайно поверхневою: розширення спрацьовує, якщо в рядку адреси просто присутній фрагмент youtube.com. При цьому фактичний хост або джерело фрейма не перевіряються. Це створює критичну вразливість: зловмисник може спровокувати виконання шкідливого коду на будь-якому ресурсі — чи то банківський портал, чи корпоративна панель керування — просто додавши рядок youtube.com у параметри запиту (наприклад, через GET-запит в URL).

Найнебезпечнішим аспектом цієї системи є можливість «дистанційного» керування. Конфігурація розширення може бути змінена на стороні сервера, що дозволяє активувати шкідливий функціонал миттєво та непомітно для користувача. Такий підхід повністю нівелює систему модерації Chrome Web Store, оскільки для запуску атаки не потрібне оновлення самого розширення або повторна перевірка коду цензорами Google.

Наразі прямих доказів використання цього бекдора для розсилки шкідливих пейлоадів не виявлено — механізм перебуває в стані «сну». Проте сам факт наявності такого інструментарію в масовому продукті свідчить про свідомий заділ під майбутні атаки або збір даних.

Ситуація ускладнюється тим, що Adblock for YouTube тісно пов'язаний із цілим сімейством аналогічних інструментів, таких як Adblock for Chrome, Adblock for You та AdBlock Suite. Більшість із них уже були ідентифіковані як шкідливі та видалені з офіційного магазину додатків. Цей випадок підкреслює системну проблему ринку безкоштовних розширень: висока популярність часто маскує брак прозорості. Єдиним надійним способом захисту залишається перехід на інструменти з відкритим вихідним кодом і підтвердженою репутацією, які проходять публічний аудит спільноти.

Тала знає • Використання матеріалів сайту дозволено виключно за умови розміщення активного, прямого і відкритого для пошукових систем гіперпосилання на першоджерело. Посилання має бути клікабельним і розташовуватися безпосередньо в тілі публікації — до або після запозиченого тексту. Будь-яке копіювання, відтворення або цитування контенту без дотримання цієї умови розглядається як порушення авторських прав.