Pesquisa indica que o bloqueador de anúncios Adblock for YouTube possui arquitetura capaz de executar código arbitrário via alteração remota, expondo sessões sensíveis a riscos de roubo de dados e fraude de credenciais.
| Componente | Extensão Google Chrome Adblock for YouTube (ID: cmedhionkhpnakcndndgjdbohmhepckk) |
| Vetor | Ativação remota de mecanismo de injeção de elementos e scripts controlada por servidor, combinada com bypass de checagem de hostname na URL |
| Impacto | Execução de código arbitrário no contexto do navegador, permitindo leitura de páginas, roubo de dados e sequestro de sessões ativas em aplicações corporativas e contas pessoais |
| Prioridade | Auditoria imediata de permissões de complementos ativos e bloqueio da extensão suspeita em ambientes corporativos |
Uma análise minuciosa conduzida em uma extensão amplamente popular do Google Chrome revelou a presença de mecanismos arquiteturais capazes de executar código JavaScript arbitrário em qualquer site visitado pelo usuário. A extensão analisada, identificada como Adblock for YouTube e portando o identificador cmedhionkhpnakcndndgjdbohmhepckk, ultrapassa a marca de dez milhões de instalações e ostenta o selo de destaque na Chrome Web Store. Segundo a pesquisa de segurança, embora o complemento entregue a funcionalidade prometida de bloqueio de anúncios em vídeos e players externos, ele carrega ocultamente os ingredientes necessários para a execução remota de scripts. Isso significa que, através de uma única alteração na configuração do servidor de controle, os operadores poderiam ativar um canal de injeção sem a necessidade de atualizar a extensão, passar por novas avaliações da loja oficial ou disparar alertas visíveis para o usuário final.
O perigo dessa arquitetura reside na acessibilidade dos dados que trafegam pelo navegador. Se ativada, a capacidade de execução de scripts arbitrários permitiria que o código malicioso lesse o conteúdo das páginas, roubasse dados sensíveis e agisse em nome do usuário dentro de contas pessoais, aplicações corporativas, painéis de administração e outras sessões de navegação críticas. É crucial destacar que, no momento da análise, não foram encontradas evidências de que um payload malicioso tenha sido efetivamente distribuído aos usuários finais. No entanto, a mera presença dessa capacidade latente, combinada com o histórico da extensão e suas conexões com outros complementos removidos da loja por distribuição de malware anteriormente, eleva drasticamente o risco de segurança e privacidade.
O funcionamento técnico dessa exposição demostra como extensões que requerem permissões amplas podem se transformar em ferramentas de manipulação. O Adblock for YouTube está ativo desde 2014 e passou por uma mudança de propriedade no ano de 2018. Em seus ciclos de vida anteriores, a extensão empacotava um kit de desenvolvimento de software focado em injeção de anúncios, identificado como Unistream SDK, que foi removido apenas em junho de 2024. Apesar dessa limpeza aparente, os pesquisadores observaram que caminhos de injeção de script controlados remotamente permaneceram ativos desde fevereiro de 2025. Esses caminhos utilizam regras de scriptlet customizadas, como a função trusted-create-element, para a criação de elementos no DOM da página, abrindo uma porta oculta para a injeção de comportamentos arbitrários capazes de acessar e extrair dados restritos do contexto de navegação.
Um agravante estrutural nesta extensão específica relaciona-se à lógica de validação de domínio. Apesar de focar na plataforma de vídeos, a extensão solicita privilégios para inspecionar requisições e alterar páginas em todos os sites visitados pelo usuário. Para limitar sua atuação original, o código implementa uma checagem que deveria restringir a execução às páginas do YouTube. No entanto, essa validação apenas verifica se a string correspondente a youtube[.]com aparece em qualquer parte da URL, falhando em validar o hostname real, a origem do frame ou o contexto do player embutido. Essa falha de sanitição permite que a verificação seja trivialmente contornada caso um atacante insira a string esperada em parâmetros de redirecionamento ou em caminhos de páginas fraudulentas, forçando a ativação da injeção do scriptlet no contexto de domínios não relacionados e controlados por atores maliciosos.
A superfície de impacto abrange qualquer indivíduo ou organização que dependa deste complemento em seus fluxos de trabalho diários. Como as extensões operam dentro do sandbox do navegador, elas herdam os cookies de sessão e as credenciais temporárias de todos os acessos, tornando qualquer sistema de gestão de identidade vulnerável caso a função latente de injeção seja acionada para capturar tokens de autenticação. O histórico da ameaça suspende a confiança de forma crítica, dado que uma série de outras extensões relacionadas a esse mesmo ecossistema de bloqueio de anúncios já foi permanentemente removida da loja por práticas de malware direto.
- Usuários finais e estáções de trabalho corporativas que possuam a extensão
cmedhionkhpnakcndndgjdbohmhepckkinstalada. - Sessões autenticadas em portais web, aplicações SaaS e painéis administrativos acessados através de navegadores que contenham o complemento ativo.
- Ambientes de navegação que acessam URLs manipuladas ou redirecionadas contendo a string de domínio de vídeo para forçar bypass na validação lógica.
Para investigar a presença de comportamentos anômalos relacionados a extensões de navegadores em ambientes corporativos, as equipes de segurança devem monitorar o tráfego de rede e os endpoints em busca de sinais de injeção e comunicação não autorizada com servidores remotos.
- Inspecionar tentativas de conexão da extensão buscando endpoints de configuração remota suspeitos ou não corporativos.
- Monitorar alterações man maliciosas no DOM de portais corporativos sensíveis durante sessões autenticadas.
- Auditar os artefatos e manifestos locais das extensões instaladas nos perfis dos navegadores gerenciados pela empresa em busca de permissões amplas para leitura e alteração de todas as URLs (
<all_urls>).
Dada a severidade do risco representado pela presença de vetores de execução remota silenciosos no ecossistema de complementos e a baixa confiança estabelecida no ciclo de vida desta extensão específica, a ação recomendada envolve a contenção imediata e a auditoria restritiva das políticas de software.
- Remover imediatamente a extensão
Adblock for YouTubedas estáções de trabalho e de perfis de usuários com acesso a dados sensíveis. - Revisar as políticas empresariais de instalação de complementos do Chrome através de GPO ou gerenciamento mobile, impondo listas de bloqueio rigorosas (ExtensionInstallBlocklist) e permitindo apenas extensões auditadas e essenciais.
- Restringir globalmente, nos endpoints corporativos, o escopo de permissões concedidas a complementos terceirizados que exigem acesso irrestrito ao tráfego de navegação e aos dados de todas as abas abertas.
0 Comentários