雖然 YouTube Premium 訂閱費用不算是很貴,但對於一些人來說還是有些負擔,因此就會安裝 YouTube 擋廣告擴充功能,來阻擋 YouTube 影片廣告。不過,如果你是裝「Adblock for Youtube™」的話可能要小心。
最近安全公司 Island 就點名 Chrome Web Store 上這款相當熱門的「Adblock for Youtube™」擴充功能,研究指出它雖然真的能擋 YouTube 廣告,但內部架構存在可由遠端設定觸發的 JavaScript 注入路徑。至今已經有超過 1,000 萬使用者安裝,甚至還獲得 Featured 標章,如果真的出現資安風險,那影響會非常大。
Adblock for Youtube™ 擋廣告擴充功能被發現遠端腳本注入路徑,研究稱只差一個伺服器端設定就可能改變行為
根據外媒 The Hacker News 報導,Island 研究人員指出,「Adblock for Youtube™」擴充功能並不是單純抓取一般的廣告過濾規則,它還會大約每 24 小時連線到 api.adblock-for-youtube.com,取得伺服器端提供的設定內容。
這些回傳資料除了包含一般網路過濾規則、CSS 選擇器,也出現一個名為 scripletsRules 的欄位。這代表說,伺服器端可以決定擴充功能內建的 scriptlet 要不要執行、要執行哪一段,以及要帶入哪些參數。
Scriptlet 本身並不奇怪,許多擋廣告工具都會利用小段 JavaScript,來處理網頁上的廣告、追蹤器、彈窗或特定元素。
真正值得注意的是,這些 scriptlet 能不能在使用者安裝擴充功能後,繼續由遠端伺服器指定與調整,甚至把 JavaScript 程式碼當成參數傳進去,讓它在網頁中執行。
Island 指出,其中一個名為 trusted-create-element 的 scriptlet 可以在頁面中建立 HTML 元素,如果伺服器傳入的元素類型是 script,內容又是 JavaScript,就可能讓程式碼在頁面環境中執行。
不過,The Hacker News 後續也補充,trusted-create-element 並不是 AdBlock Ltd. 自行撰寫,而是來自 AdGuard 的開源 scriptlet library。真正被質疑的是伺服器端設定能觸及這條注入路徑。
為了確認這不是單純理論上的可能,Island 也進一步做了一個受控的概念驗證。
研究人員使用本地 mock server,模擬擴充功能原本會連線取得規則的 API 回應。整個過程沒有修改擴充功能本體,包含權限設定、網址檢查、scriptlet library 與注入邏輯都維持原樣。
測試流程中,研究人員先讓擴充功能在 YouTube 頁面自然通過檢查機制,接著再開啟一個完整 URL 字串中帶有 youtube.com 的 Salesforce 頁面。
由於完整網址有包含 youtube.com,擴充功能的判斷也因此通過。研究人員便在 PoC 中示範,讀取使用者當下可見的 Salesforce 帳戶資料,並將資料傳回本地 mock server。
這裡也要再次強調,Island 這次是在受控環境下證明「這條路徑確實存在」,並不是說這款擴充功能已經確認被用來竊取使用者資料。
事情曝光後,AdBlock Ltd 創辦人 Mathias Rochus 也回覆 The Hacker News,表示這款擴充功能從未使用這項能力,未來也不會使用。
他提到,公司已準備向 Chrome Web Store 送出更新,主要包含兩個修正方向:第一,頁面檢查機制會改成驗證 YouTube 的 hostname,而不是只看完整網址字串裡有沒有 youtube.com;第二,伺服器端設定將不再能在頁面中建立或注入可執行的 script。
使用者該如何自保?
最直接的做法,是先到 chrome://extensions/ 檢查自己是否有安裝「Adblock for Youtube™」,並確認開發者是不是 AdBlock Ltd.、Extension ID 是否為 cmedhionkhpnakcndndgjdbohmhepckk。
如果你不常使用,或只是很久以前裝了卻忘記移除,建議可以直接刪掉。
還想繼續使用的話,至少要確認已更新到 7.2.3,並留意後續是否有更完整的修正說明。由於目前沒有證據顯示惡意 payload 已經被發送給使用者,不需要立刻把所有密碼重設一輪。
不過,如果你曾在安裝這款擴充功能期間,登入公司後台、網銀、CRM、雲端硬碟等敏感服務,而且對這款擴充功能還是不放心,可以先登出重要帳號的其他工作階段、檢查近期登入紀錄,並確認兩步驟驗證已經開啟。
至於公司或團隊環境,則建議先暫停或封鎖這款 Extension ID,等新版程式碼、Chrome Web Store 更新狀態,或官方修正說明更明確後,再評估是否重新開放使用。