Een analyse van een populaire Google Chrome-advertentieblokextensie voor YouTube heeft de mogelijkheid blootgelegd om willekeurige JavaScript-code uit te voeren.
Volgens Island is de extensie genoemd Advertentieblokkering voor YouTube (ID: cmedhionkhpnakcndndgjdbohmhepckk), heeft meer dan 10 miljoen installaties en heeft een Uitgelicht-badge in de Chrome Web Store.
In de extensiebeschrijving staat dat gebruikers hiermee kunnen voorkomen dat webpagina-elementen zoals advertenties, inclusief preroll-advertenties, worden weergegeven op het videodeelplatform, evenals op externe sites die YouTube laden. Hoewel de add-on de beloofde functionaliteit biedt, beschikt deze ook over mogelijkheden om willekeurige JavaScript-code uit te voeren.
“Het bevat ook de architecturale ingrediënten voor willekeurige JavaScript-uitvoering op elke website, geactiveerd door een enkele configuratiewijziging aan de serverzijde, zonder een extensie-update, zonder een winkelrecensie en zonder enig zichtbaar teken dat er iets is veranderd”, zeiden onderzoekers Oleg Zaytsev en Shachar Gritzman in een rapport gedeeld met The Hacker News.
“In praktische termen zou dat kunnen betekenen dat je pagina’s leest, gegevens steelt en optreedt als gebruiker in persoonlijke accounts, werk-apps, beheerderspanelen en andere gevoelige browsersessies.”
Het is de moeite waard om hier te benadrukken dat er geen bewijs is dat kwaadaardige lading op deze manier onder gebruikers is verspreid, maar alleen al de aanwezigheid van deze mogelijkheid, in combinatie met banden met andere adblocking-extensies die sindsdien uit de winkel zijn verwijderd vanwege malware, verhoogt de privacy en veiligheidsrisico’s, voegde Island eraan toe.
Hieronder vindt u een lijst met gerelateerde extensies die zijn verwijderd:
- Advertentieblokkering voor Chrome (ID: onomjaelhagjjojbkcafidnepbfkpnee)
- Advertentieblokkering voor u (ID: ogcaehilgakehloljjmajoempaflmdci)
- AdBlock Suite (ID: gekoepiplklhniacchbbgbhilidiojmb)
Adblock voor YouTube is sinds 2014 beschikbaar in de Chrome Web Store en begon als een eenvoudige YouTube-advertentieblokker voordat het vier jaar later van eigenaar veranderde. Vroege iteraties van de extensie bleken te worden geleverd met een software-ontwikkelingskit (SDK) voor advertentie-injectie genaamd Unistream SDK, hoewel deze in juni 2024 werd verwijderd.
Wat constant is geweest, is de aanwezigheid van op afstand bestuurbare scriptinjectiepaden sinds februari 2025, waardoor de deur wordt geopend voor het creëren van willekeurige “
“Ten tijde van onze analyse was het trust-create-element niet actief in de serverreactie”, legden de onderzoekers uit. “De mogelijkheid is sluimerend en niet afwezig. Om deze te activeren is een enkele wijziging aan de serverzijde nodig, geen extensie-update, geen winkelrecensie.”
Het risico wordt nog groter gemaakt door het feit dat adblocker-extensies doorgaans uitgebreide toestemming vragen om verzoeken te inspecteren, pagina’s te wijzigen, elementen te verbergen en hun gedrag aan te passen naarmate advertentiesystemen zich ontwikkelen.
Concreet is gebleken dat de extensie, in tegenstelling tot de naam, op elke website draait die een gebruiker in de browser bezoekt, terwijl er een vinkje wordt toegevoegd dat alleen wordt geactiveerd als de huidige URL ‘youtube.com’ bevat. In werkelijkheid verifieert de controle echter alleen of de tekenreeks die overeenkomt met “youtube.com” ergens in de URL voorkomt, en valideert de hostnaam, frameoorsprong of ingesloten spelercontext niet.
Dit betekent dat de controle triviaal kan worden omzeild door youtube.com ergens in de URL te plaatsen, zoals weergegeven in de volgende URL-patronen:
- www.facebook.com/page?ref=youtube.com
- bank.example.com/search?q=youtube.com
- internal.corp.com/redirect?from=youtube.com
“Het gaat niet om één enkele verdachte coderegel”, zei Island. “Het is de combinatie: een extensie met hoge installatiekosten met toegang tot alle sites, een op afstand bestuurd injectiepad, eerdere infrastructuur voor advertentie-injectie, een grote verandering in eigendom en codebase, en gerelateerde extensies die vanwege malware uit de Chrome Web Store zijn verwijderd.”
The Hacker News heeft contact opgenomen met de ontwikkelaar van de extensie voor commentaar, en we zullen het verhaal bijwerken als we iets horen.
De onthulling komt nadat Palo Alto Networks Unit 42 zei dat het 18 browserextensies had gedetecteerd die consumentenmerken nabootsen met als doel geld te verdienen via affiliate marketing.
“Na installatie openen alle extensies het .shop-domein in een nieuw tabblad”, aldus Unit 42. “Het .shop-domein verwijst door naar een ander domein. Het domein presenteert een pagina waarop wordt vermeld dat verdere actie vereist is. De pagina vermeldt incompatibiliteitsproblemen en vraagt gebruikers om een gaming-georiënteerde browser te installeren.”
