Un análisis de una popular extensión de bloqueo de anuncios de Google Chrome para YouTube ha descubierto la capacidad de ejecutar código JavaScript arbitrario.
Según Island, la extensión, denominada Bloqueo de anuncios para YouTube (ID: cmedhionkhpnakcndndgjdbohmhepckk), tiene más de 10 millones de instalaciones y lleva una insignia de Destacado en Chrome Web Store.
La descripción de la extensión indica que permite a los usuarios evitar que elementos de la página web, como anuncios, incluidos los anuncios previos al video, se muestren en la plataforma para compartir videos, así como en sitios externos que cargan YouTube. Si bien el complemento ofrece la funcionalidad prometida, también presenta capacidades para ejecutar código JavaScript arbitrario.
“También contiene los ingredientes arquitectónicos para la ejecución arbitraria de JavaScript en cualquier sitio web, activado por un único cambio de configuración del lado del servidor, sin una actualización de la extensión, sin una revisión de la tienda y sin ningún signo visible de que algo haya cambiado”, dijeron los investigadores Oleg Zaytsev y Shachar Gritzman en un informe compartido con The Hacker News.
“En términos prácticos, eso podría significar leer páginas, robar datos y actuar como usuario dentro de cuentas personales, aplicaciones de trabajo, paneles de administración y otras sesiones sensibles del navegador”.
Vale la pena enfatizar aquí que no hay evidencia de que se haya distribuido carga útil maliciosa a los usuarios de esta manera, pero la mera presencia de la capacidad, junto con vínculos con otras extensiones de bloqueo de publicidad que desde entonces han sido eliminadas del escaparate de malware, aumenta los riesgos de privacidad y seguridad, agregó Island.
La lista de extensiones relacionadas que se han eliminado se enumera a continuación:
- Adblock para Chrome (ID: onomjaelhagjjojbkcafidnepbfkpnee)
- Adblock para ti (ID: ogcaehilgakehloljjmajoempaflmdci)
- AdBlock Suite (ID: gekoepiplklhniacchbbgbhilidiojmb)
Adblock para YouTube ha estado en Chrome Web Store desde 2014, comenzando como un bloqueador de anuncios básico de YouTube antes de cambiar de propietario cuatro años después. Se descubrió que las primeras versiones de la extensión se entregaban con un kit de desarrollo de software (SDK) de inyección de anuncios llamado Unistream SDK, aunque se eliminó en junio de 2024.
Lo que ha sido constante es la presencia de rutas de inyección de scripts controladas remotamente desde febrero de 2025, lo que abre la puerta a la creación de “autorizaciones” arbitrarias.
“En el momento de nuestro análisis, el elemento de creación confiable no estaba activo en la respuesta del servidor”, explicaron los investigadores. “La capacidad está inactiva, no ausente. Activarla requiere un único cambio en el servidor, sin actualización de extensión, ni revisión de la tienda”.
Para agravar aún más el riesgo está el hecho de que las extensiones de bloqueadores de anuncios suelen solicitar amplios permisos para inspeccionar solicitudes, alterar páginas, ocultar elementos y ajustar su comportamiento a medida que evolucionan los sistemas publicitarios.
Específicamente, se ha descubierto que, contrariamente a su nombre, la extensión se ejecuta en cada sitio web que un usuario visita en el navegador, al tiempo que agrega una verificación que se activa solo cuando la URL actual contiene “youtube.com”. Sin embargo, en realidad, la verificación solo verifica si la cadena correspondiente a “youtube.com” aparece en cualquier lugar de la URL y no valida el nombre de host, el origen del marco o el contexto del reproductor integrado.
Esto significa que la verificación se puede omitir trivialmente colocando youtube.com en cualquier lugar de la URL, como se muestra en los siguientes patrones de URL:
- www.facebook.com/page?ref=youtube.com
- banco.ejemplo.com/search?q=youtube.com
- internal.corp.com/redirect?from=youtube.com
“La preocupación no es ni una sola línea de código sospechosa”, dijo Island. “Es la combinación: una extensión de alta instalación con acceso a todos los sitios, una ruta de inyección controlada remotamente, una infraestructura de inyección de anuncios previa, un cambio importante de propiedad y de base de código, y extensiones relacionadas que se eliminaron de Chrome Web Store por malware”.
The Hacker News se ha puesto en contacto con el desarrollador de la extensión para solicitar comentarios y actualizaremos la historia si recibimos una respuesta.
La divulgación se produce cuando la Unidad 42 de Palo Alto Networks dijo que detectó 18 extensiones de navegador que se hacen pasar por marcas de consumo con el objetivo de monetizar a través del marketing de afiliación.
“Tras la instalación, todas las extensiones abren el dominio .shop en una nueva pestaña”, dijo la Unidad 42. “El dominio .shop redirige a otro dominio. El dominio presenta una página que indica que se requieren medidas adicionales. La página cita problemas de incompatibilidad y solicita a los usuarios que instalen un navegador orientado a juegos”.