){kind=small}
)
Pesquisadores da empresa de segurança Island descobriram, na quarta-feira (25), que a extensão Adblock for YouTube para Google Chrome carrega uma estrutura técnica capaz de executar código malicioso em qualquer site visitado pelo usuário. A extensão tem mais de 11 milhões de instalações e figura entre as 31 mais populares da Chrome Web Store.
Não há evidências de que o recurso foi ativado para fins maliciosos até o momento. O problema identificado é a existência da capacidade em si.
Nossos vídeos em destaque
O que a extensão faz e o que ela pode fazer
A extensão funciona como prometido. Ela bloqueia anúncios no YouTube e tem avaliação de 4,4 estrelas com mais de 374 mil avaliações. O problema não é o que ela faz, mas o que ela pode ser instruída a fazer.
Toda vez que um usuário instala uma extensão de bloqueio de anúncios no Chrome, está concedendo a ela permissão para ler e modificar o conteúdo das páginas que visita. Isso é esperado e necessário para que o bloqueio funcione.
)
O que não é esperado é que uma extensão voltada exclusivamente ao YouTube tenha permissão para agir em todos os sites. O Adblock for YouTube solicita acesso irrestrito a qualquer endereço da web, algo que vai além do necessário para sua função declarada.
Uma verificação de segurança que não funciona
A extensão possui uma checagem interna que deveria limitar sua atuação a páginas relacionadas ao YouTube. Basicamente, antes de agir numa página, ela verifica se a palavra "youtube[.]com" aparece no endereço do site. O problema é que a checagem não verifica se o site é, de fato, o YouTube. Ela apenas procura pela sequência de caracteres "youtube.com" em qualquer parte do endereço.
)
Isso significa que um endereço como "banco.com/pagina?referencia=youtube.com" passaria pela verificação sem problema. Qualquer pessoa que controle o servidor da extensão poderia explorar isso para acionar o código em sites completamente diferentes do YouTube.
Como funciona o mecanismo de controle remoto
A cada 24 horas, a extensão consulta um servidor externo para buscar atualizações de configuração. Isso é prática comum em bloqueadores de anúncio, pois permite que o software se adapte a novas formas de publicidade sem precisar de uma atualização manual.
O que os pesquisadores encontraram é que esse sistema de atualização remota pode ser usado para enviar instruções que vão além de regras de bloqueio. Uma das funções disponíveis na extensão, chamada de "trusted-create-element", é capaz de inserir um bloco de código JavaScript diretamente em qualquer página aberta no navegador.
)
JavaScript é a linguagem que faz sites funcionarem de forma interativa. Quando executado dentro de uma página, um script tem acesso ao que o usuário vê, digita e faz naquela sessão. Isso inclui dados de formulários, informações visíveis na tela e até sessões autenticadas em aplicativos corporativos.
No momento da análise, essa função estava presente no código, mas inativa. Para ativá-la, bastaria uma única mudança no servidor que a extensão consulta, sem necessidade de atualizar a extensão na loja, sem revisão do Google e sem nenhum sinal visível para o usuário.
A prova de conceito
Os pesquisadores montaram um ambiente controlado para demonstrar o risco. Sem modificar a extensão em nada, eles simularam um servidor malicioso enviando uma instrução para ela.
)
O resultado foi uma cadeia em que a extensão, ativada numa aba do YouTube, abriu uma página do Salesforce com "youtube.com" embutido no endereço. Como a verificação interna foi enganada, a extensão injetou código nessa segunda página. O script então leu dados visíveis na conta do Salesforce e os enviou de volta ao servidor. Todo o processo não exigiu nenhuma atualização da extensão nem nenhuma ação do usuário.
Um histórico que levanta dúvidas
A extensão existe desde 2014 e mudou de dono por volta de 2018, quando também passou por uma reescrita significativa do código. Desde então, cresceu de algumas centenas de milhares para mais de 10 milhões de usuários.
O mesmo desenvolvedor esteve ligado a outras extensões posteriormente removidas da Chrome Web Store por distribuição de malware, entre elas o Adblock for Chrome e o Adblock for You. Versões anteriores do próprio Adblock for YouTube incluíam um SDK chamado Unistream, associado a injeção de propagandas e sinalizado por empresas de segurança. Ele foi removido em junho de 2024.
A Island reportou os achados e informou que não há confirmação de exploração ativa até o momento. Usuários que utilizam a extensão podem removê-la enquanto aguardam um posicionamento do desenvolvedor.
Acompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube.
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
