谷歌浏览器的油管(YouTube)广告拦截扩展程序内置隐藏代码注入功能:1000万用户面临风险

admin 2026-06-30 07:34:58 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 一款安装量超1000万的Chrome扩展程序’AdblockforYouTube’被安全研究人员发现内置隐藏的任意代码执行功能,虽当前未激活但存在被开发者或攻击者利用的风险。该扩展拥有谷歌’精选’认证却未通过安全审核暴露结构性漏洞,可能引发凭证窃取或数据监控。建议用户卸载该扩展并警惕高权限工具的安全风险。 综合评分: 85 文章分类: 漏洞分析,威胁情报,安全工具,安全意识,供应链安全


cover_image

谷歌浏览器的油管(YouTube)广告拦截扩展程序内置隐藏代码注入功能:1000 万用户面临风险

原创

很近也很远 很近也很远

网络研究观

2026年6月27日 00:00 福建

在小说阅读器读本章

去阅读

目前数百万个浏览器工具栏中都安装了一款 Chrome 扩展程序,其中包含能够执行任意 JavaScript 的休眠代码——这种能力可能被利用来窃取密码、注入恶意软件或收集浏览数据,而用户却毫不知情。

这款名为“Adblock for YouTube”的扩展程序在谷歌网上应用商店中获得了谷歌的“精选”徽章,安装量超过1000万次。Island的安全研究人员在例行分析中发现了隐藏的脚本注入功能,这引发了一个紧迫的问题:如何阻止扩展程序开发者——或者任何能够访问这些扩展程序的人——明天就激活这段代码?

https://www.island.io/blog/badblocker-11-million-users-one-server-call-away-from-compromise

主要发现:

  • 隐藏功能: Google 推荐的 YouTube 广告拦截扩展程序拥有 1000 万次安装量,其中包含休眠的 JavaScript 代码,能够在用户访问的任何网页上执行任意命令。
  • 信任差距:谷歌的“精选”徽章旨在表明更高的审核标准,但在扩展程序到达用户之前,并未检测或标记隐藏的代码注入功能。
  • 结构性风险:休眠并不安全:该功能代表内置基础设施,任何获得扩展程序代码库访问权限的开发人员或攻击者都可能激活该功能。

根据 Island 的调查结果,这款扩展程序(Chrome ID:cmedhionkhpnakcndndgjdbohmhepckk)旨在屏蔽 YouTube 上的广告。该扩展程序的应用商店页面将其描述为一个简单的实用工具:阻止网页广告播放。但在这看似无害的描述背后,隐藏着一段 JavaScript 代码,它能够在用户访问的任何网页上执行任意命令。

关键的区别在于,这项功能看似处于休眠状态——目前并未激活。Island 的分析并未表明该代码目前正在窃取数据或注入恶意软件。但休眠状态并不代表安全。它是一种基础设施。它就像一件装在安全可靠位置的定时炸弹,随时准备被激活。该扩展程序在 Chrome 网上应用商店的“精选”状态,意味着谷歌对其安全性充满信心,这使得这一发现更加令人担忧,而非减轻其危害。看到该徽章的用户理所当然地会认为自己安装的是一款经过验证的产品。

数据说话:

• 全球超过1000万用户在Chrome浏览器中安装了YouTube广告拦截器。• Chrome扩展程序可以读取和修改用户访问的每个网站的数据——这种权限范围使得隐藏功能尤其危险。

• Chrome网上应用商店的“精选”标识仅授予一小部分扩展程序,这造成了一种安全审查全面的假象。

这与剑桥分析公司的惯用伎俩有何相似之处?

#

这种模式反映了剑桥分析公司丑闻中暴露出的结构性漏洞。在该案例中,一款名为“thisisyourdigitallife”的性格测试应用不仅收集用户直接数据,还收集用户好友的信息——这项隐藏功能内置于应用的权限设置中,用户从未明确同意激活。该应用表面上的功能合法(测试),但其内部却包含大规模提取行为数据的底层架构。用户以为自己下载的内容与代码实际执行的功能之间的差异,正是整个丑闻的根源所在。在这里,“广告拦截器”和“任意代码执行器”之间的差距也遵循着同样的结构性逻辑:通过隐藏的功能侵蚀用户同意。

剑桥分析公司所规范的数据利用模式——将数据提取基础设施构建到可信工具中,并等待合适的时机激活——并没有在丑闻曝光后消失,反而成为了一种模板。Island 的研究人员在 YouTube 广告拦截器中发现的并非孤立事件,而是一种常见的模式:一款广受信任的工具,一项隐藏的功能,以及数百万用户在不知情的情况下同意了一项功能,却在不知不觉中运行了另一项功能。

任意代码执行对用户究竟意味着什么?

#

Island 的披露并未指明扩展程序的开发者,也未说明代码注入功能是如何产生的。研究人员并未指控开发者正在积极利用此功能损害用户利益。但这项功能的存在——未经宣布、未公开,且内置于一款拥有 1000 万用户的工具中——本身就代表着透明度的缺失,也违背了用户应当了解其计算机上运行的代码功能这一原则。

发表在ACM计算机安全会议论文集上的研究记录了浏览器扩展程序生态系统中跨平台远程代码执行漏洞带来的系统性风险,研究发现,扩展程序权限架构为隐藏功能提供了结构性机会,使其能够绕过标准审查流程而不被发现。YouTube广告拦截器案例正是此类漏洞的真实写照。

研究表明:

•对浏览器扩展程序安全性的系统性分析表明,任意 JavaScript 执行属于最高级别的漏洞之一,可能导致凭证窃取、会话劫持和持续监视。 • 2024 年对扩展程序生态系统的全面分析发现,安全审查工具经常无法检测到休眠或条件触发的恶意代码,因为静态分析无法预测运行时激活条件。 • 具有广泛“读取和修改所有网站数据”权限的扩展程序属于最高风险类别,但用户通常会授予这些权限,因为他们信任扩展程序所宣称的目的。

为什么谷歌的精选徽章未能起到安全信号的作用?

#

Chrome网上应用商店的审核流程(据推测,正是该流程批准了这款扩展程序获得“精选”地位)并未发现或标记出其隐藏的功能。这引发了人们对谷歌在授予扩展程序显著位置之前,其安全分析深度的质疑。扩展程序拥有极高的权限——它们可以读取和修改您访问的任何网站上的数据,可以查看您的浏览历史记录,还可以拦截网络流量。“精选”徽章通常意味着更高的审核标准,但此次发现却表明并非如此。

这并非无关紧要的小众软件问题,而是谷歌围绕其扩展程序市场构建的信任基础设施究竟是实质性的还是徒有其表的问题。利用可信平台窃取数据并非史无前例——而且在每起案例中,平台自身的认证机制都未能及时发现风险,导致用户遭受损失。

是否应该卸载 YouTube 的广告拦截器?

#

对于安装了 YouTube Adblock 的用户来说,眼下最紧迫的问题是是否要卸载它。Island 的分析表明,该代码目前并未激活,但“目前未激活”并不意味着“永远不会激活”。依赖该扩展程序进行广告拦截的用户可能面临便利与风险之间的抉择。扩展程序开发者和谷歌均未发表公开声明解释该代码的用途,也未说明为何在未披露的情况下将其包含在内。

更广泛的影响更为深远。Chrome 扩展程序基于信任模式运行。用户授予它们权限,并假定这些权限对于其宣称的功能是必要的,同时信任开发者不会越权。然而,这一发现表明,仅仅信任是不够的。

谷歌的“精选”徽章并不能保证扩展程序的实际功能与其宣传的功能相符。用户安装任何扩展程序——即使是下载量达数百万且获得官方认可的扩展程序——不仅是在信任开发者当前的意图,也是在信任他们未来的意图以及他们为防止安全漏洞而采取的措施。同样的道理也适用于其他受信任工具中的隐藏代码:表面功能和底层功能并不总是相同的。

专家分析:

• 安全研究人员一致认为,供应链泄露是激活隐藏扩展程序功能的主要途径——开发者账户被恶意攻击者入侵或获取,即可在一夜之间将原本无害的扩展程序变成攻击工具。 • 1000万的安装量意味着,一旦隐藏功能被激活,将构成有史以来规模最大的浏览器级同时入侵事件之一。 • Island 披露漏洞后,谷歌和扩展程序开发者均未公开回应,这加剧了风险,使用户无法判断是否继续使用该工具。

Island 的披露让我们得以窥见安全研究人员在仔细研究广泛使用的工具时会发现什么,这实属难得。现在的问题是,谷歌是否会对精选扩展程序进行更广泛的审计,以及该公司是否会在扩展程序到达用户之前实施更严格的技术控制,以检测和阻止隐藏代码注入功能。这个问题的答案将决定“精选”徽章是否还有意义。


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:网络研究观 很近也很远 很近也很远《谷歌浏览器的油管(YouTube)广告拦截扩展程序内置隐藏代码注入功能:1000 万用户面临风险》

该来的还是来了 网络安全文章

该来的还是来了

文章总结: 本文是一篇SRC专项学习圈的促销广告,以49元假期半价优惠券吸引读者,强调其价格低于低危漏洞赏金。该圈子提供SRC漏洞知识库更新、视频课程、挖掘技巧
评论:0   参与:  0