Zum Inhalt springen

YouTube-Adblocker mit über 10 Millionen Downloads kann beliebigen Code ausführen

Auf den Punkt: Eine weit verbreitete YouTube-Adblocker-Erweiterung mit über 10 Millionen Downloads kann durch serverseitige Konfiguration zur Ausführung beliebigen Schadcodes missbraucht werden, ohne dass bislang ein aktiver Missbrauch nachgewiesen wurde.

Die Chrome-Erweiterung "Adblock für YouTube" besitzt laut Sicherheitsforschern die architektonische Grundlage, um willkürlich JavaScript-Code auf beliebigen Webseiten auszuführen, ohne dass ein Update oder erneute Store-Überprüfung erforderlich wäre.

Die Sicherheitsforscher Oleg Zaytsev und Shachar Gritzman von Island haben die Erweiterung “Adblock für YouTube” analysiert. Sie verfügt über mehr als zehn Millionen Installationen und ist im offiziellen Google Chrome Web Store gelistet. Die Untersuchung zeigt, dass die Erweiterung bereits die technische Infrastruktur für die Ausführung beliebigen JavaScript-Codes enthält. Diese Funktionalität könnte durch eine einfache serverseitige Konfigurationsänderung aktiviert werden – ohne dass dafür ein Erweiterungs-Update, eine erneute Store-Überprüfung oder sichtbare Änderungen für den Nutzer erforderlich wären. Nach aktuellem Stand gibt es keine Beweise dafür, dass Schadcode tatsächlich an Nutzer verteilt wurde.

Die Schwachstelle entsteht durch unzureichende Sicherheitskontrollen: Obwohl die Erweiterung laut Name nur für YouTube vorgesehen ist, fordert sie umfangreiche Berechtigungen für alle besuchten Webseiten an. Die implementierte URL-Prüfung sucht lediglich nach der Zeichenfolge “youtube.com” an einer beliebigen Stelle in der Adresse. Dies ermöglicht es, den Schutzmechanismus durch manipulierte URLs wie “bank.example.com/search?q=youtube.com” zu umgehen. Der Injektionspfad existiert bereits seit Februar 2025 über eine Regel namens “trusted-create-element”.

Falls die Funktion aktiviert würde, könnten Angreifer sensible Daten auslesen, Passwörter stehlen oder Aktionen in Nutzerkonten durchführen. Die Erweiterung ist seit 2014 im Store verfügbar und wechselte 2018 den Besitzer. In früheren Versionen war ein Werbeinjektions-SDK enthalten, das im Juni 2024 entfernt wurde. Mehrere verwandte Erweiterungen wie “Adblock for Chrome”, “Adblock for You” und “AdBlock Suite” wurden bereits aus dem Store entfernt.

Parallel deckte Palo Alto Networks Unit 42 18 weitere Browser-Erweiterungen auf, die etablierte Verbrauchermarken imitieren, um Einnahmen durch Affiliate-Marketing zu generieren. Diese Add-ons öffnen nach der Installation automatisch eine Domain, die Kompatibilitätsprobleme vortäuscht und Nutzer zur Installation eines speziellen Gaming-Browsers auffordert.


Quelle: www.it-daily.net · Erschienen 27. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.1.

Share on: