Pénzcentrum • 2026. július 1. 15:15
Egy népszerű, több mint tízmillió letöltéssel rendelkező Chrome-bővítményről derült ki, hogy képes tetszőleges JavaScript-kód futtatására a felhasználók tudta nélkül. Az Island kiberbiztonsági cég kutatói szerint az "Adblock for YouTube" nevű, a Chrome Web Store-ban kiemelt jelzéssel ellátott kiegészítő ugyan valóban elvégzi a reklámok szűrését, ám olyan architektúrával rendelkezik, amely egyetlen szerveroldali módosítással visszaélésekre adhatna lehetőséget.
A HackerNews érdeklődésére biztonsági szakértők, Oleg Zajcev és Sahar Gricman rámutattak, hogy a veszély forrása a közvetlen elérés, ugyanis a kód futtatásához nincs szükség a bővítmény frissítésére, áruházi jóváhagyásra, és semmilyen látható jel nem utal a változásra. A gyakorlatban ez lehetővé tenné, hogy a kiegészítő weboldalakat olvasson ki, adatokat lopjon el, vagy a felhasználó nevében járjon el a személyes fiókokban, munkahelyi alkalmazásokban és adminisztrációs felületeken.
Noha nincs bizonyíték arra, hogy ezzel a módszerrel bárki ellen kártékony támadást indítottak volna, a kockázatot rendkívül komolyan veszik. A bővítmény ugyanis kapcsolatba hozható olyan más reklámszűrőkkel, amelyeket korábban már eltávolítottak a webáruházból rosszindulatú kódok miatt, mint például az Adblock for Chrome, az Adblock for You vagy az AdBlock Suite.
Az Adblock for YouTube már 2014 óta elérhető. Kezdetben egyszerű reklámszűrőként működött, majd négy évvel később új tulajdonoshoz került. Korábbi verziói tartalmaztak egy Unistream SDK nevű reklámbeágyazó szoftverfejlesztő készletet is, amelyet végül 2024 júniusában távolítottak el. A nevében szereplő YouTube-utalás ellenére a bővítmény valójában minden meglátogatott weboldalhoz széles körű hozzáféréssel bír, ami a reklámszűrők esetében bevett gyakorlatnak számít, a távolról vezérelt kódfuttatás lehetőségével ötvözve viszont komoly aggodalomra ad okot.
A biztonsági rés egy hibás ellenőrzési folyamatból adódott, a kiegészítő ugyanis minden olyan esetben aktiválódott, amikor az URL-címben bárhol szerepelt a "youtube.com" karakterlánc, ahelyett, hogy a tényleges gazdagépnevet vizsgálta volna. Emiatt a szűrő könnyen kijátszhatóvá vált, például egy "bank.example.com/search?q=youtube.com" alakú címmel.
A kutatás közzétételével egy időben a Palo Alto Networks Unit 42 kiberbiztonsági részlege arról számolt be, hogy tizennyolc olyan, ismert márkákat utánzó böngészőbővítményt azonosított, amelyek partnerprogramos marketingen keresztül próbáltak bevételhez jutni, és a telepítést követően megtévesztő, ".shop" végződésű domainekre irányították át a gyanútlan felhasználókat.
JÓL JÖNNE 2 MILLIÓ FORINT?
Amennyiben 2 000 000 forintot igényelnél 5 éves futamidőre, akkor a törlesztőrészletek szerinti rangsor alapján az egyik legjobb konstrukciót havi 42 386 forintos törlesztővel a Raiffeisen Bank nyújtja (THM 10,35%), de nem sokkal marad el ettől a CIB Bank (THM 11,29%-ot) és a MagNet Bank (THM 11.68%-ot) ígérő ajánlata sem. További bankok ajánlataiért, illetve a konstrukciók pontos részleteiért (THM, törlesztőrészlet, visszafizetendő összeg, stb.) keresd fel a Pénzcentrum megújult személyi kölcsön kalkulátorát. (x)
Az AdBlock Ltd. alapítója, Mathias Rochus később közölte, hogy a bővítmény soha nem élt a kifogásolt lehetőséggel, és időközben már kiadták a javított verziót. A Chrome Web Store-ban jelenleg elérhető 7.2.3-as változatból eltávolították a jelentésben említett kódrészletet, a pontatlan karakterlánc-ellenőrzést pedig biztonságosabb, gazdagépnév-alapú vizsgálatra cserélték.
Ennek ellenére a bővítmény továbbra is tölt le távoli szabályokat és futtat kódokat az oldalak elsődleges környezetében, ezért a rendszer teljes biztonságát csak a futásidejű ellenőrzés garantálhatná.