Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Rozszerzenia przeglądarkowe blokujące reklamy należą do najbardziej uprzywilejowanych komponentów działających po stronie użytkownika. Zwykle otrzymują szerokie uprawnienia do odczytu i modyfikacji zawartości stron, analizy ruchu oraz dynamicznego ukrywania elementów interfejsu. Z tego powodu nawet pozornie legalny dodatek może stać się istotnym ryzykiem bezpieczeństwa, jeśli jego architektura pozwala na zdalną zmianę zachowania bez standardowej aktualizacji w sklepie rozszerzeń.
W skrócie
Badacze bezpieczeństwa opisali popularne rozszerzenie Chrome przeznaczone do blokowania reklam w YouTube, które według analizy zawiera mechanizm umożliwiający arbitralne wykonywanie kodu JavaScript. Funkcja miała pozostawać nieaktywna w chwili badania, ale mogła zostać uruchomiona pojedynczą zmianą konfiguracji po stronie serwera.
Problem jest szczególnie istotny, ponieważ rozszerzenie ma ponad 10 milionów instalacji, działa szerzej niż sugeruje jego nazwa i posiada dostęp do wszystkich odwiedzanych witryn. Nie potwierdzono aktywnego nadużycia tej ścieżki, jednak sama obecność takiej możliwości oznacza podwyższone ryzyko dla prywatności użytkowników i integralności sesji przeglądarkowych.
Kontekst / historia
Opisywane rozszerzenie funkcjonuje w Chrome Web Store od wielu lat i było prezentowane jako prosty bloker reklam dla YouTube. Z czasem przeszło jednak zmiany właścicielskie oraz ewolucję kodu, co z perspektywy bezpieczeństwa zawsze powinno zwiększać poziom ostrożności.
Według ustaleń analityków od lutego 2025 roku w kodzie miały być obecne ścieżki pozwalające na zdalnie sterowane tworzenie elementów skryptowych. To ważny sygnał ostrzegawczy, ponieważ wskazuje nie tylko na pojedynczy błąd implementacyjny, lecz na utrzymywaną architekturę zdolną do zmiany modelu działania dodatku bez przechodzenia pełnego procesu aktualizacji.
Dodatkowe obawy wzmacnia kontekst ekosystemu powiązanych rozszerzeń reklamowych, z których część była wcześniej usuwana ze sklepu z powodu złośliwego charakteru. Sam ten fakt nie przesądza o kompromitacji, ale podnosi wagę całej analizy ryzyka.
Analiza techniczna
Kluczowy problem dotyczy mechanizmu zdalnie sterowanego wstrzykiwania skryptów. Według badaczy rozszerzenie zawierało własną regułę typu scriptlet, która mogła prowadzić do tworzenia elementów <script> i wykonywania arbitralnego kodu JavaScript w kontekście odwiedzanej strony. W praktyce oznacza to potencjalną możliwość odczytu danych z DOM, przechwytywania interakcji użytkownika, manipulowania treścią strony oraz wykonywania działań w aktywnej sesji.
Szczególnie niepokojące jest to, że aktywacja tej funkcji miała nie wymagać publikacji nowej wersji dodatku ani ponownej weryfikacji przez sklep. Taka architektura przenosi część kontroli z procesu dystrybucji rozszerzenia do infrastruktury serwerowej operatora, ograniczając przejrzystość zmian i utrudniając użytkownikowi ocenę realnego zakresu działania dodatku.
Analiza wskazała również na rozbieżność między nazwą rozszerzenia a jego rzeczywistym zakresem działania. Choć dodatek sugeruje pracę wyłącznie w YouTube, w praktyce uruchamia się na każdej odwiedzanej stronie. Zastosowany warunek aktywacji miał opierać się na prostym sprawdzeniu, czy ciąg znaków „youtube.com” występuje gdziekolwiek w adresie URL, zamiast na pełnej walidacji hosta lub źródła osadzenia.
Taka logika może zostać łatwo ominięta. Wystarczy, aby odwiedzany adres zawierał odpowiedni ciąg w parametrze zapytania, ścieżce lub innym fragmencie adresu. W efekcie reguły rozszerzenia mogą uruchomić się także poza zamierzonym kontekstem, co znacząco zwiększa powierzchnię ataku.
Z technicznego punktu widzenia najbardziej alarmująca jest nie pojedyncza linia kodu, lecz kombinacja kilku czynników: ogromna baza użytkowników, szerokie uprawnienia do wszystkich stron, mechanizm zdalnej aktywacji, wcześniejsze zmiany właścicielskie oraz historia komponentów reklamowych w otoczeniu dodatku. Taki zestaw cech odpowiada wzorcowi wysokiego ryzyka w analizie rozszerzeń przeglądarkowych.
Konsekwencje / ryzyko
Jeżeli podobna funkcja zostałaby nadużyta, skutki mogłyby być poważne zarówno dla użytkowników indywidualnych, jak i środowisk firmowych. Rozszerzenie z dostępem do wszystkich witryn może stać się uprzywilejowanym punktem obserwacji, a w skrajnym scenariuszu również narzędziem do przejęcia kont lub wycieku danych.
- kradzież danych z aktywnych sesji przeglądarkowych,
- modyfikacja treści stron i formularzy,
- przechwytywanie tokenów, danych logowania i informacji biznesowych,
- wykonywanie działań w imieniu użytkownika,
- naruszenie poufności w środowiskach korporacyjnych,
- obejście części zabezpieczeń opartych na zaufaniu do sesji przeglądarki.
W organizacjach zagrożenie rośnie, gdy ta sama przeglądarka służy do pracy administracyjnej, dostępu do usług chmurowych i codziennego przeglądania internetu. W takim modelu jedno rozszerzenie może mieć wgląd w bardzo szeroki zakres aktywności użytkownika.
Rekomendacje
Administratorzy i zespoły bezpieczeństwa powinni traktować dodatki przeglądarkowe jak oprogramowanie uprzywilejowane i obejmować je formalnym nadzorem. W praktyce warto wdrożyć następujące działania:
- przeprowadzić inwentaryzację wszystkich rozszerzeń używanych w organizacji,
- usunąć dodatki, które nie są niezbędne do realizacji zadań biznesowych,
- ograniczyć możliwość samodzielnej instalacji rozszerzeń przez użytkowników,
- stosować listy dozwolonych rozszerzeń w przeglądarkach zarządzanych centralnie,
- regularnie analizować żądane uprawnienia oraz zmiany właścicielskie i funkcjonalne dodatków,
- monitorować rozszerzenia mające dostęp do wszystkich stron, skryptów treści i żądań sieciowych,
- oddzielić profile przeglądarki używane do pracy uprzywilejowanej od codziennego surfowania,
- rozważyć izolację sesji lub użycie przeglądarek korporacyjnych dla użytkowników uprzywilejowanych.
Użytkownicy indywidualni również powinni ograniczać liczbę zainstalowanych dodatków, regularnie przeglądać ich uprawnienia i unikać logowania do wrażliwych usług w przeglądarce przeładowanej rozszerzeniami. Popularność dodatku i liczba instalacji nie są gwarancją bezpieczeństwa.
Podsumowanie
Opisana sprawa pokazuje, że największym problemem w ekosystemie rozszerzeń nie zawsze jest jawnie złośliwe działanie, lecz architektura umożliwiająca jego szybkie uruchomienie w przyszłości. W tym przypadku szczególne znaczenie mają skala wdrożenia, szeroki dostęp do wszystkich stron oraz możliwość aktywacji ścieżki wstrzykiwania skryptów bez klasycznej aktualizacji.
Nie ma obecnie potwierdzenia, że mechanizm został wykorzystany w aktywnych atakach. Mimo to sama obecność takiej funkcjonalności powinna skłonić użytkowników i organizacje do przeglądu polityki bezpieczeństwa dotyczącej rozszerzeń przeglądarkowych.
Źródła
- The Hacker News — Chrome Ad Blocker with 10M+ Installs Found with Dormant Script Injection Capability — https://thehackernews.com/2026/06/chrome-ad-blocker-with-10m-installs.html
- Island — research statement cited in the disclosure — https://www.island.io/
- Chrome Web Store — Adblock for YouTube listing — https://chromewebstore.google.com/