BadBlocker
Az Island.io kutatói az Adblock for YouTube Chrome-bővítmény biztonsági architektúráját elemezték, amely több mint 11 millió telepítéssel és 374 ezer értékeléssel rendelkezik a Chrome Web Store-ban. A vizsgálat során nem találtak bizonyítékot arra, hogy a fejlesztő rosszindulatú kódot terjesztett volna, ugyanakkor egy olyan tervezési hibát azonosítottak, amely lehetővé tenné a bővítmény működésének távoli megváltoztatását egyetlen szerveroldali konfiguráció módosításával. A bővítmény <all_urls> jogosultságot kér, így nemcsak a YouTube-on, hanem gyakorlatilag minden meglátogatott weboldalon – webmailben, internetbankban, vállalati SaaS-alkalmazásokban vagy adminisztrációs felületeken – képes futni. Bár a kód látszólag csak a youtube.com oldalakon aktiválódik, az ellenőrzés mindössze azt vizsgálja, hogy a youtube.com karakterlánc szerepel-e az URL-ben, ezért egyszerűen megkerülhető például egy URL-paraméter segítségével. A kutatók azt is megállapították, hogy a bővítmény 24 óránként egy távoli szerverről tölti le a működését meghatározó szabálykészletet, amely egy scriptletsRules mezőn keresztül meghatározhatja, hogy mely JavaScript-függvényeket kell végrehajtani. Bizonyos scriptletek – például a trusted-create-element – alkalmasak arra, hogy a szerver utasítására tetszőleges JavaScript-kódot injektáljanak a megnyitott weboldalba, anélkül hogy a felhasználónak frissítenie kellene a bővítményt vagy a Chrome Web Store újraellenőrizné azt.

A kutatók egy ellenőrzött proof-of-concept során bemutatták, hogy egy módosított konfiguráció segítségével a bővítmény egy YouTube-oldalról automatikusan megnyithat egy másik webalkalmazást – például Salesforce-ot – olyan URL-lel, amely tartalmazza a youtube.com karakterláncot. Emiatt a bővítmény a Salesforce oldalán is lefuttatta a távolról meghatározott JavaScriptet, amely képes volt a felhasználó munkamenetéhez hozzáférni és adatokat kiolvasni. Az Island hangsúlyozza, hogy ez csak demonstráció volt, és nem találtak arra utaló jelet, hogy a fejlesztő ténylegesen visszaélt volna ezzel a lehetőséggel. A kutatás ugyanakkor arra is felhívja a figyelmet, hogy a bővítmény 2018-ban tulajdonost váltott és jelentős átalakításon esett át, továbbá korábban kapcsolatba hozták olyan testvérbővítményekkel, amelyeket később rosszindulatú működés miatt eltávolítottak a Chrome Web Store-ból.