Un'estensione per il blocco degli annunci pubblicitari installata su oltre 11 milioni di browser Chrome contiene tutti gli ingredienti per eseguire JavaScript arbitrario su qualsiasi sito visitato, e basterebbe una singola modifica lato server per attivarli, senza alcun aggiornamento dell'estensione n� revisione dello store. � la conclusione dell'analisi di Adblock for YouTube pubblicata da Island Security, azienda che si occupa di sicurezza dei browser in ambito enterprise. L'estensione � particolarmente diffusa e anche apprezzata: 374.000 recensioni, valutazione di 4.4 stelle, il badge 'Featured' e la 31� posizione per numero di installazioni sull'intero Chrome Web Store. I ricercatori Oleg Zaytsev e Shachar Gritzman non hanno osservato la distribuzione di alcun payload malevolo agli utenti: lo scriptlet che consentirebbe l'iniezione, chiamato trusted-create-element, era dormiente nella risposta del server al momento dell'analisi. Un permesso che vale tutto il web Il primo segnale � nel manifest: l'estensione dichiara di bloccare gli annunci solo su YouTube, ma richiede il permesso <all_urls>, cio� l'accesso a ogni pagina che l'utente visita. Il controllo che dovrebbe confinare l'esecuzione alle pagine di YouTube si riduce a una regex che verifica la semplice presenza della stringa youtube.com in un punto qualsiasi dell'URL, senza validare l'hostname, l'origine del frame o il contesto del player. Un indirizzo come bank.example.com/search?q=youtube.com supera il controllo senza problemi. Il meccanismo di attivazione � altrettanto lineare. Ogni 24 ore l'estensione scarica la propria configurazione da un endpoint remoto, e la risposta contiene un campo, scripletsRules, che decide quali scriptlet eseguire e con quali argomenti. Su un server di prova locale i ricercatori hanno ricostruito l'intera catena in un proof of concept con tanto di indicatori di compromissione: un cambio nella risposta del server porta all'iniezione dello scriptlet prima su YouTube, poi su Salesforce tramite un URL che contiene la stringa youtube.com, fino all'esfiltrazione dei dati dell'account verso il server controllato. Una traccia che viene da lontano L'estensione � presente sul Chrome Web Store dal 2014; intorno al 2018 ha cambiato propriet� ed � stata sostanzialmente riscritta, passando da poche centinaia di migliaia a oltre dieci milioni di utenti. Versioni precedenti includevano lo Unistream SDK, un kit per l'iniezione di annunci associato ad attivit� adware e segnalato da Bitdefender, rimosso poi nel giugno 2024. Percorsi di iniezione di script controllati da remoto risultano presenti almeno dal febbraio 2025. C'� anche un legame, per cos� dire, "di famiglia": tre estensioni riconducibili alla stessa infrastruttura sono gi� state rimosse da Google per malware e si tratta di Adblock for Chrome, Adblock for You e AdBlock Suite. Nelle stesse settimane Palo Alto Networks Unit 42 ha individuato 18 estensioni che impersonano marchi noti per monetizzare tramite affiliazione, aprendo all'installazione un dominio .shop che reindirizza verso un browser orientato al gaming. Il punto che Island Security mette in evidenza � l'architettura che renderebbe possibile eseguire un attacco in qualunque momento. La revisione dello store � stata superata su un codice gi� pronto a cambiare comportamento da remoto, e per chi ha installato l'estensione non esisterebbe alcun segnale visibile dell'attivazione. Nell'attesa, chi tiene Adblock for YouTube fra le proprie estensioni pu� valutarne la rimozione: il permesso di accesso a tutti i siti, da solo, vale gi� l'adozione di un approccio estremamente prudenziale.