Цифрова незалежність з оновленням Immich 3.0
Прихований бекдор в Adblock for YouTube

Сучасні браузерні розширення володіють надзвичайним рівнем доступу до даних користувача: від вмісту відкритих сторінок до сесійних кукі та паролів. У цьому контексті виявлення прихованого функціоналу в Adblock for YouTube, який має понад 10 мільйонів інсталяцій, викликає серйозне занепокоєння фахівців із кібербезпеки. Дослідники з компанії Island виявили в коді розширення механізм, що дозволяє виконувати довільний JavaScript-код на будь-яких вебсайтах, причому керування цим процесом здійснюється віддалено.
Технічна реалізація цієї можливості базується на кастомному правилі trusted-create-element. За стандартних умов браузери та системи безпеки прагнуть обмежити динамічне створення елементів <script>, щоб запобігти XSS-атакам і впровадженню шкідливого коду. Однак це правило фактично легітимізує створення таких елементів всередині розширення, надаючи йому можливість звертатися до конфіденційних даних на сторінці та маніпулювати контентом у режимі реального часу.
Особливий інтерес викликає спосіб активації цього механізму. Розробники реалізували перевірку URL-адреси, проте зробили її надзвичайно поверхневою: розширення спрацьовує, якщо в рядку адреси просто присутній фрагмент youtube.com. При цьому фактичний хост або джерело фрейма не перевіряються. Це створює критичну вразливість: зловмисник може спровокувати виконання шкідливого коду на будь-якому ресурсі — чи то банківський портал, чи корпоративна панель керування — просто додавши рядок youtube.com у параметри запиту (наприклад, через GET-запит в URL).
Найнебезпечнішим аспектом цієї системи є можливість «дистанційного» керування. Конфігурація розширення може бути змінена на стороні сервера, що дозволяє активувати шкідливий функціонал миттєво та непомітно для користувача. Такий підхід повністю нівелює систему модерації Chrome Web Store, оскільки для запуску атаки не потрібне оновлення самого розширення або повторна перевірка коду цензорами Google.
Наразі прямих доказів використання цього бекдора для розсилки шкідливих пейлоадів не виявлено — механізм перебуває в стані «сну». Проте сам факт наявності такого інструментарію в масовому продукті свідчить про свідомий заділ під майбутні атаки або збір даних.
Ситуація ускладнюється тим, що Adblock for YouTube тісно пов'язаний із цілим сімейством аналогічних інструментів, таких як Adblock for Chrome, Adblock for You та AdBlock Suite. Більшість із них уже були ідентифіковані як шкідливі та видалені з офіційного магазину додатків. Цей випадок підкреслює системну проблему ринку безкоштовних розширень: висока популярність часто маскує брак прозорості. Єдиним надійним способом захисту залишається перехід на інструменти з відкритим вихідним кодом і підтвердженою репутацією, які проходять публічний аудит спільноти.

