Uma análise de uma extensão popular de bloqueio de anúncios do Google Chrome para YouTube revelou a capacidade de executar código JavaScript arbitrário.
Segundo a Island, a extensão, chamada Adblock for YouTube (ID: cmedhionkhpnakcndndgjdbohmhepckk), possui mais de 10 milhões de instalações e exibe o selo de Destaque (Featured) na Chrome Web Store.
A descrição da extensão afirma que ela permite aos usuários impedir que elementos de páginas da web, como anúncios — incluindo os anúncios antes do vídeo (preroll) — sejam exibidos na plataforma de compartilhamento de vídeos, além de sites externos que carregam o YouTube. Embora o complemento ofereça a funcionalidade prometida, ele também conta com recursos para executar código JavaScript arbitrário.
"Ela também contém os ingredientes arquiteturais para a execução arbitrária de JavaScript em qualquer site, ativada por uma única alteração de configuração no lado do servidor, sem atualização da extensão, sem análise da loja e sem qualquer sinal visível de que algo mudou", afirmaram os pesquisadores Oleg Zaytsev e Shachar Gritzman em um relatório compartilhado com o The Hacker News.
"Na prática, isso pode significar a leitura de páginas, o roubo de dados e a atuação como o usuário dentro de contas pessoais, aplicativos de trabalho, painéis administrativos e outras sessões sensíveis do navegador."
Vale destacar que não há evidências de que um código malicioso tenha sido distribuído aos usuários dessa forma, mas a mera presença da capacidade, somada a vínculos com outras extensões bloqueadoras de anúncios que já foram removidas da loja por conterem malware, levanta riscos de privacidade e segurança, acrescentou a Island.
Extensões relacionadas que foram removidas
- Adblock for Chrome (ID: onomjaelhagjjojbkcafidnepbfkpnee)
- Adblock for You (ID: ogcaehilgakehloljjmajoempaflmdci)
- AdBlock Suite (ID: gekoepiplklhniacchbbgbhilidiojmb)
O Adblock for YouTube está na Chrome Web Store desde 2014, começando como um bloqueador básico de anúncios do YouTube antes de mudar de proprietário quatro anos depois. Versões iniciais da extensão foram identificadas com um kit de desenvolvimento de software (SDK) de injeção de anúncios chamado Unistream SDK, embora ele tenha sido removido em junho de 2024.
O que se manteve constante é a presença de caminhos de injeção de script controlados remotamente desde fevereiro de 2025, abrindo caminho para a criação de elementos "<script>" arbitrários usando uma regra de scriptlet personalizada ("trusted-create-element") definida pelo autor da extensão, que pode, por sua vez, acessar dados sensíveis.
"No momento da nossa análise, o trusted-create-element não estava ativo na resposta do servidor", explicaram os pesquisadores. "A capacidade está adormecida, não ausente. Ativá-la requer uma única alteração no lado do servidor, sem atualização da extensão, sem análise da loja."
Agravando ainda mais o risco está o fato de que extensões bloqueadoras de anúncios normalmente solicitam permissões amplas para inspecionar requisições, alterar páginas, ocultar elementos e ajustar seu comportamento conforme os sistemas de anúncios evoluem.
Especificamente, foi constatado que, ao contrário do que o nome sugere, a extensão é executada em todos os sites que o usuário visita no navegador, adicionando uma verificação que só é ativada quando a URL atual contém "youtube.com". No entanto, na prática, a verificação apenas confirma se a string correspondente a "youtube.com" aparece em qualquer parte da URL, e não valida o nome de host, a origem do frame ou o contexto do player incorporado.
Isso significa que a verificação pode ser contornada de forma trivial bastando incluir youtube.com em qualquer parte da URL, conforme ilustrado nos seguintes padrões de URL:
- www.facebook.com/page?ref=youtube.com
- bank.example.com/search?q=youtube.com
- internal.corp.com/redirect?from=youtube.com
"A preocupação não é uma única linha suspeita de código", disse a Island. "É a combinação: uma extensão com alto número de instalações e acesso a todos os sites, um caminho de injeção controlado remotamente, infraestrutura prévia de injeção de anúncios, uma grande mudança de propriedade e de base de código, e extensões relacionadas que foram removidas da Chrome Web Store por conterem malware."
O The Hacker News entrou em contato com o desenvolvedor da extensão para obter um posicionamento e atualizará a reportagem caso haja retorno.
A divulgação ocorre no momento em que a Palo Alto Networks Unit 42 afirmou ter detectado 18 extensões de navegador se passando por marcas de consumo com o objetivo de monetizar por meio de marketing de afiliados.
"Ao serem instaladas, todas as extensões abrem o domínio .shop em uma nova aba", disse a Unit 42. "O domínio .shop redireciona para outro domínio. O domínio apresenta uma página citando que uma ação adicional é necessária. A página cita problemas de incompatibilidade e pede aos usuários que instalem um navegador voltado para jogos."
