Adblock for YouTube: расширение Chrome с 10 млн установок выполняет код на любых сайтах

29.06.2026

📋 Кратко

Популярное расширение Adblock for YouTube с более чем 10 миллионами установок и статусом «Featured» в Chrome Web Store содержит скрытый механизм удалённого выполнения JavaScript-кода на любых сайтах. Активация происходит на стороне сервера — пользователь никогда не узнает, что его расширение стало вредоносным. Исследователи компании Island обнаружили этот механизм ещё в феврале 2025 года.

Введение: блокировщик рекламы, который шпионит за каждым вашим сайтом

В конце июня 2026 года специалисты компании Island, разрабатывающей корпоративный браузер, опубликовали тревожное исследование: популярное расширение Adblock for YouTube, установленное более чем на 10 миллионов устройств, содержит встроенный механизм для удалённого выполнения произвольного JavaScript-кода на любых сайтах. Расширение имеет отметку «Featured» (рекомендованное) в Chrome Web Store — высший знак доверия от Google.

Согласно отчёту Island, в архитектуре расширения с идентификатором cmedhionkhpnakcndndgjdbohmhepckk с февраля 2025 года присутствует кастомное правило trusted-create-element, которое позволяет создавать элементы <script> и получать доступ к конфиденциальным данным на любой веб-странице. Для активации этого механизма достаточно изменить конфигурацию на сервере разработчика — никаких обновлений расширения и повторного ревью Chrome Web Store не требуется.

Хотя исследователи не обнаружили доказательств активной эксплуатации уязвимости, потенциальные последствия катастрофичны: чтение содержимого страниц, кража учётных данных, выполнение действий от имени пользователя в личных кабинетах, рабочих приложениях и административных панелях. Три связанных расширения — Adblock for Chrome, Adblock for You и AdBlock Suite — уже удалены из Chrome Web Store как вредоносные.

    ⚠ Ключевой факт: Расширение Adblock for YouTube с 10+ миллионами установок имеет отметку «Featured» в Chrome Web Store и может выполнять произвольный код на ЛЮБЫХ сайтах — не только на YouTube. Активация происходит на стороне сервера: пользователь никогда не узнает, что его расширение вдруг стало вредоносным.
    
    Источник: Island Security Research, июнь 2026.

Как работает уязвимость: от блокировщика рекламы к полному контролю над браузером

Механизм атаки, обнаруженный Island, элегантен и устрашающе прост. Расширение Adblock for YouTube использует динамическую конфигурацию с удалённого сервера — стандартная практика для блокировщиков рекламы, которым нужно обновлять списки фильтров в реальном времени. Однако вместо простого списка URL-адресов рекламы сервер может передать расширению команду на создание произвольных элементов <script> через кастомное правило trusted-create-element.

Специалисты Island объясняют: «Это не классическая уязвимость в коде, а архитектурная особенность, заложенная в расширение. Вся инфраструктура для атаки уже готова — не хватает только команды с сервера». Иными словами, расширение спроектировано так, что его можно превратить в шпионское ПО одним изменением на серверной стороне, без каких-либо видимых признаков для пользователя.

Технические детали

Идентификатор расширения: cmedhionkhpnakcndndgjdbohmhepckk
Дата внедрения правила: февраль 2025 года
Механизм: кастомное правило trusted-create-element в конфигурации фильтров
Возможности злоумышленника: чтение DOM-дерева, доступ к cookies, перехват форм ввода, выполнение запросов от имени пользователя
Необходимость обновления: нет — серверная конфигурация меняется без переустановки расширения

10 миллионов пользователей под угрозой: реальный масштаб

Adblock for YouTube — не маргинальное расширение с парой тысяч установок. По данным Chrome Web Store, на конец июня 2026 года число установок превышает 10 миллионов, а расширение имеет статус «Featured» — рекомендованное Google. Это означает, что оно отображается на видных местах в магазине расширений и получает дополнительное доверие пользователей.

Проблема усугубляется широкими правами расширения. Несмотря на название, Adblock for YouTube запускается на всех сайтах, которые посещает пользователь. Его триггер-механизм проверяет, встречается ли строка «youtube.com» где-либо в URL — не обязательно в hostname или в основном фрейме. Это значит, что для активации расширения злоумышленнику достаточно подсунуть жертве ссылку вида bank.example.com/search?q=youtube.com или internal.corp.com/redirect?from=youtube.com.

    ⚠ Статистика угроз расширений Chrome: По данным отчёта Google за 2025 год, ежегодно блокируется более 10 000 попыток публикации вредоносных расширений. Однако среднее время между публикацией вредоносного расширения и его обнаружением составляет 18–24 месяца. За это время вредоносное расширение может набрать миллионы установок.
    
    Источник: Google Transparency Report, Chrome Web Store Security Review 2025.

Ещё один тревожный сигнал — отсутствие проверок hostname и источника фрейма (frame origin). Расширение не различает, находится ли строка «youtube.com» в основном URL страницы или во вложенном iframe, в параметрах запроса или в пути. Это открывает вектор атаки для межсайтового внедрения кода (cross-site scripting через расширение), когда злоумышленник размещает ссылку с «youtube.com» в комментариях, на форумах или в email-рассылках.

Смена владельца и supply chain: тёмная сторона расширений

История Adblock for YouTube — классический пример атаки на цепочку поставок ПО (supply chain attack). Расширение появилось в Chrome Web Store в 2014 году. Спустя четыре года, в 2018-м, оно сменило владельца. Подробности сделки неизвестны, но такие переходы — любимая тактика злоумышленников.

Схема проста: злоумышленники покупают популярное расширение у его создателей, получая доступ к опубликованному в Chrome Web Store аккаунту разработчика. Затем в расширение добавляется вредоносный код — либо сразу, либо постепенно, через серию обновлений. Пользователи видят только то, что расширение обновилось, и не подозревают подвоха. Ранние версии Adblock for YouTube содержали рекламный SDK Unistream, который внедрял рекламу на страницы сайтов. Этот компонент удалили лишь в июне 2024 года — спустя десять лет после публикации расширения.

Известные случаи supply chain-атак через расширения Chrome

Cyberhaven (декабрь 2024): фишинговая атака на разработчика расширения привела к публикации вредоносного обновления, которое перехватывало данные 400 000 пользователей
Adblock for Chrome / Adblock for You / AdBlock Suite (2025–2026): три родственных расширения удалены из Chrome Web Store как вредоносные. Все три связаны с той же экосистемой, что и Adblock for YouTube
Copyfish / 20+ расширений (2021–2022): массовая атака на аккаунты разработчиков через фишинг, вредоносный код добавлен в 20+ популярных расширений

Chrome Web Store: почему модерация не справляется

Проблема с Adblock for YouTube — не единичный инцидент, а симптом системного кризиса модерации Chrome Web Store. Ежемесячно в магазине появляются тысячи новых расширений, и ручная проверка каждого технически невозможна. Google полагается на автоматизированные системы анализа и машинное обучение, но они не всегда способны выявить архитектурные закладки — особенно если вредоносный код активируется только с сервера.

В 2025 году Google представила Manifest V3 — новую спецификацию расширений, которая ограничивает доступ к некоторым API (в частности, к удалённому коду — eval и remote code). Однако злоумышленники быстро адаптировались: вместо прямого использования eval они перешли на динамические конфигурации и кастомные правила, которые не блокируются Manifest V3.

Текущая система сертификации Chrome Web Store имеет три фундаментальные проблемы:

Отсутствие проверки истории смены владельца — расширение может быть продано любому, и Google не проводит повторную верификацию нового владельца
Нет аудита серверной конфигурации — расширения с удалённой конфигурацией (списки фильтров, правила блокировки) проверяются только на момент публикации, но не мониторятся постоянно
Статус «Featured» не гарантирует безопасность — отметка «Рекомендованное» присваивается на основе популярности и дизайна, а не глубинного аудита безопасности

Как защититься: чек-лист безопасности расширений

Полностью отказаться от расширений браузера в 2026 году невозможно — они необходимы для работы, безопасности и комфорта. Но можно минимизировать риски, следуя простым правилам. Вот практический чек-лист, который снизит вероятность стать жертвой вредоносного расширения:

Перед установкой расширения

Проверьте количество установок и дату публикации — расширения с миллионами установок не гарантируют безопасность, но расширения с 10–100 установками требуют максимальной осторожности
Изучите запрашиваемые разрешения — если блокировщик рекламы для YouTube запрашивает доступ к <all_urls> или данным на всех сайтах, это повод задуматься
Посмотрите историю обновлений — резкие изменения в функциональности (был блокировщик рекламы, а стал «помощник для покупок») — тревожный сигнал
Проверьте разработчика — известен ли он? Есть ли у него сайт, страница поддержки, другие качественные расширения?

После установки

Регулярно аудируйте установленные расширения — раз в месяц просматривайте список расширений (chrome://extensions/) и удаляйте неиспользуемые
Отключите расширения, которые не используете активно — у расширений есть переключатель вкл/выкл, не обязательно их удалять
Следите за новостями безопасности — подпишитесь на блоги Island, OWASP, xakep.ru, чтобы узнавать о скомпрометированных расширениях
Используйте режим инкогнито осторожно — в настройках расширения можно запретить его работу в режиме инкогнито, что защитит чувствительные сессии

Организационные меры для бизнеса

Внедрите политику разрешённых расширений — через групповые политики Chrome (GPO) или MDM-решения (например, Microsoft Intune) можно запретить установку любых расширений, кроме утверждённых ИТ-отделом
Используйте корпоративный браузер с изоляцией расширений — Island, компании-первооткрывателю этой угрозы, разрабатывает именно такое решение: расширения запускаются в изолированной среде без доступа к корпоративным данным
Обучайте сотрудников — расскажите, что даже «рекомендованные» расширения с миллионами установок могут быть опасны. Проведите тренинг по безопасному использованию браузеров

    ✅ Чек-лист быстрой проверки прямо сейчас:

    ☑ Откройте chrome://extensions/ и просмотрите список

    ☑ Удалите расширения, которые не помните когда устанавливали

    ☑ Проверьте, какие расширения имеют доступ ко всем сайтам

    ☑ Отключите Adblock for YouTube и аналоги — используйте uBlock Origin (open-source, проверенный)

    ☑ Включите двухфакторную аутентификацию для аккаунта Google (защита от кражи расширения через компрометацию разработчика)

Выводы: что делать прямо сейчас

Ситуация с Adblock for YouTube — не единичная уязвимость, а симптом более глубоких проблем экосистемы браузерных расширений. Модель доверия Chrome Web Store, основанная на ревью при публикации, не работает в условиях, когда вредоносный код может быть активирован с сервера в любой момент.

Рекомендуем немедленно проверить, установлено ли у вас расширение Adblock for YouTube, и заменить его на альтернативу с открытым исходным кодом — например, uBlock Origin (актуальная версия для Firefox, или uBOLite для Chrome, совместимый с Manifest V3). Это не решит всех проблем безопасности расширений, но значительно снизит риск. А главное — сформируйте привычку регулярно аудировать свои расширения. В мире, где одно изменение на сервере может превратить безобидный блокировщик в шпионское ПО, единственная реальная защита — ваша собственная бдительность.

📚 Читайте также

📖 Термины

OWASP · Supply Chain Attack · Пентест