IT之家 6 月 29 日消息,安全公司 Island 发文,透露谷歌(GOOG) Chrome 浏览器插件商店一款安装量超过 1100 万次的广告拦截插件 Adblock for YouTube 存在严重安全隐患,黑客理论上可借助其服务器端配置在用户浏览器中执行任意 JavaScript 代码,从而窃取敏感数据,甚至实施账号冒用等恶意操作。
根据 Island 的研究,Adblock for YouTube 本身设计目的是屏蔽 YouTube 平台上的广告,但问题在于这款插件在执行逻辑时并没有严格校验当前访问的域名是否真的属于 youtube.com。这意味着黑客只需要在任意网址中人为加入“youtube.com”这一字符串(例如 notyoutube.example.com/search?q=youtube.com)这样的链接,虽然完全和 YouTube 平台没关系,但页面仍可诱导插件触发运行。
安全公司同时指出,该插件内部还集成了一套可由服务器端动态下发配置的 JavaScript 代码库。研究人员指出,如果黑客能够控制 Adblock 的服务器配置,或者服务器本身遭到入侵,就可以借助这一机制向用户浏览器注入并执行任意 JavaScript 代码。
截至目前,Adblock for YouTube 的开发商 AdBlock 尚未正式发布公开安全报告。不过该公司创始人回应外媒 The Hacker News 称“团队已经开始着手修复相关问题”,正在为插件增加对 YouTube 官方域名的严格验证,并调整服务器端配置机制,确保未来无法再通过远程配置向客户端页面注入可执行代码。
安全研究人员表示,由于广告拦截类插件天然拥有比普通插件更高的权限,用户在安装此类插件时,应尽量选择信誉明确、更新活跃且经过长期验证的产品,同时定期检查扩展权限范围,避免安装来源不明或功能异常复杂的插件,以降低潜在风险。
