Một phân tích về tiện ích chặn quảng cáo Google Chrome phổ biến dành cho YouTube đã phát hiện khả năng thực thi mã JavaScript tùy ý.
Theo Island, tiện ích này có tên là Adblock for YouTube (ID: cmedhionkhpnakcndndgjdbohmhepckk), sở hữu hơn 10 triệu lượt cài đặt và được gắn huy hiệu "Nổi bật" (Featured) trên Chrome Web Store.
Mô tả của tiện ích cho biết nó cho phép người dùng ngăn chặn các yếu tố trên trang web như quảng cáo, bao gồm cả quảng cáo đầu video (preroll ads), hiển thị trên nền tảng chia sẻ video cũng như trên các trang web bên ngoài có tải YouTube. Mặc dù tiện ích cung cấp đúng chức năng đã hứa, nó cũng chứa các khả năng để chạy mã JavaScript tùy ý.
"Nó chứa đựng các thành phần kiến trúc để thực thi JavaScript tùy ý trên bất kỳ trang web nào, được kích hoạt chỉ bằng một thay đổi cấu hình phía máy chủ, mà không cần cập nhật tiện ích, không cần cửa hàng đánh giá và không có bất kỳ dấu hiệu rõ ràng nào cho thấy điều gì đã thay đổi," các nhà nghiên cứu Oleg Zaytsev và Shachar Gritzman cho biết trong một báo cáo chia sẻ với The Hacker News.
"Trên thực tế, điều đó có nghĩa là nó có thể đọc các trang web, đánh cắp dữ liệu và hoạt động như người dùng trong các tài khoản cá nhân, ứng dụng công việc, bảng quản trị và các phiên trình duyệt nhạy cảm khác."
Cần nhấn mạnh rằng hiện chưa có bằng chứng nào cho thấy payload độc hại đã được phân phối tới người dùng theo cách này. Tuy nhiên, sự tồn tại của khả năng này, kết hợp với các mối liên hệ với các tiện ích chặn quảng cáo khác đã bị gỡ khỏi cửa hàng vì chứa phần mềm độc hại, đã làm tăng rủi ro về quyền riêng tư và bảo mật, Island bổ sung thêm.
Danh sách các tiện ích liên quan đã bị gỡ bỏ
- Adblock for Chrome (ID: onomjaelhagjjojbkcafidnepbfkpnee)
- Adblock for You (ID: ogcaehilgakehloljjmajoempaflmdci)
- AdBlock Suite (ID: gekoepiplklhniacchbbgbhilidiojmb)
Adblock for YouTube đã có mặt trên Chrome Web Store từ năm 2014, bắt đầu là một trình chặn quảng cáo YouTube cơ bản trước khi đổi chủ sở hữu bốn năm sau đó. Các phiên bản đầu tiên của tiện ích này được phát hiện có đi kèm với bộ công cụ phát triển phần mềm (SDK) tiêm quảng cáo mang tên Unistream SDK, mặc dù nó đã bị gỡ bỏ vào tháng 6 năm 2024.
Điều không thay đổi là sự hiện diện của các đường dẫn tiêm mã lệnh (script injection) được điều khiển từ xa từ tháng 2 năm 2025, mở ra cánh cửa để tạo các phần tử <script> tùy ý bằng cách sử dụng quy tắc scriptlet riêng ("trusted-create-element") do tác giả tiện ích định nghĩa, từ đó có thể truy cập dữ liệu nhạy cảm.
"Tại thời điểm phân tích, 'trusted-create-element' không hoạt động trong phản hồi từ máy chủ," các nhà nghiên cứu giải thích. "Khả năng này đang ở trạng thái ngủ yên chứ không phải là không có. Việc kích hoạt nó chỉ cần một thay đổi duy nhất ở phía máy chủ, không cần cập nhật tiện ích, không cần cửa hàng xét duyệt."
Rủi ro còn tăng cao hơn bởi thực tế là các tiện ích chặn quảng cáo thường yêu cầu quyền truy cập sâu để kiểm tra các yêu cầu, thay đổi trang, ẩn các yếu tố và điều chỉnh hành vi khi hệ thống quảng cáo thay đổi.
Kỹ thuật vượt qua kiểm tra URL
Cụ thể, người ta phát hiện ra rằng trái ngược với tên gọi của mình, tiện ích này chạy trên mọi trang web mà người dùng truy cập, đồng thời thêm một bước kiểm tra chỉ kích hoạt khi URL hiện tại chứa chuỗi "youtube.com". Tuy nhiên, trên thực tế, bước kiểm tra này chỉ xác nhận xem chuỗi "youtube.com" có xuất hiện ở bất kỳ đâu trong URL hay không, mà không xác thực hostname, nguồn gốc khung hình (frame origin) hoặc ngữ cảnh trình phát được nhúng.
Điều này có nghĩa là bước kiểm tra có thể dễ dàng bị vượt qua bằng cách đặt "youtube.com" vào bất kỳ đâu trong URL, như các ví dụ sau:
- www.facebook.com/page?ref=youtube.com
- bank.example.com/search?q=youtube.com
- internal.corp.com/redirect?from=youtube.com
"Mối lo ngại không nằm ở một dòng mã khả nghi duy nhất," Island cho biết. "Đó là sự kết hợp: một tiện ích có số lượng cài đặt lớn với quyền truy cập mọi trang web, một đường dẫn tiêm mã điều khiển từ xa, cơ sở hạ tầng tiêm quảng cáo trước đó, sự thay đổi lớn về chủ sở hữu và mã nguồn, cùng các tiện ích liên quan đã bị gỡ khỏi Chrome Web Store vì phần mềm độc hại."
The Hacker News đã liên hệ với nhà phát triển tiện ích để lấy ý kiến phản hồi và sẽ cập nhật bài viết nếu có thông tin mới.
Cảnh báo về các tiện ích giả mạo thương hiệu
Tiết lộ này được đưa ra khi Unit 42 của Palo Alto Networks cho biết họ đã phát hiện 18 tiện ích trình duyệt giả mạo các thương hiệu tiêu dùng với mục tiêu kiếm tiền thông qua tiếp thị liên kết (affiliate marketing).
"Sau khi cài đặt, tất cả các tiện ích sẽ mở tên miền .shop trong một tab mới," Unit 42 cho biết. "Tên miền .shop sẽ chuyển hướng đến một tên miền khác. Trang web này hiển thị một thông báo yêu cầu thực hiện hành động tiếp theo, viện dẫn lý do không tương thích và yêu cầu người dùng cài đặt một trình duyệt dành cho chơi game."