Một phân tích mới về tiện ích mở rộng phổ biến 'Adblock for YouTube' trên Google Chrome đã phát hiện khả năng thực thi mã JavaScript tùy ý đầy nguy hiểm. Công cụ hiện có hơn 10 triệu lượt cài đặt và từng được gắn nhãn nổi bật trên cửa hàng Chrome trực tuyến. Dù chưa có bằng chứng mã độc đã được phân phối, rủi ro bảo mật là rất lớn khi nó liên quan đến các tiện ích khác vừa bị Google xóa vì chứa phần mềm độc hại.
Cấu trúc chèn mã độc điều khiển từ xa
Theo các nhà nghiên cứu, tiện ích này chứa cấu trúc chèn mã độc điều khiển từ xa, dễ dàng kích hoạt từ máy chủ mà không cần cập nhật ứng dụng hay qua kiểm duyệt. Về lý thuyết, lỗ hổng có thể cho phép kẻ xấu đọc trang web, đánh cắp dữ liệu và chiếm quyền tài khoản cá nhân hoặc ứng dụng công việc. Nguy hiểm hơn, tiện ích yêu cầu quyền truy cập sâu rộng để thay đổi trang và chạy ngầm trên mọi website người dùng truy cập.
Lỗ hổng bảo mật trong xác thực tên miền
Hệ thống bảo vệ của ứng dụng chỉ kiểm tra chuỗi ký tự 'youtube.com' xuất hiện ở bất kỳ đâu trong URL, thay vì xác thực tên miền chính thức. Điều này khiến cơ chế bảo mật dễ bị qua mặt trên các trang web giả mạo như tài khoản ngân hàng hay mạng xã hội. Rủi ro càng tăng khi tiện ích từng sử dụng bộ công cụ chèn quảng cáo Unistream SDK và đã trải qua thay đổi lớn về chủ sở hữu cũng như mã nguồn.
Phản hồi từ nhà phát triển
Ngay sau khi thông tin bị tiết lộ, nhà sáng lập AdBlock Ltd khẳng định ứng dụng chưa từng và sẽ không bao giờ lợi dụng khả năng chèn mã này để gây hại. Công ty chuẩn bị bản cập nhật mới gửi lên Google nhằm thắt chặt quy trình xác thực tên miền YouTube và loại bỏ hoàn toàn quyền chèn mã thực thi từ máy chủ. Bản đính chính cũng làm rõ đoạn mã chạy ngầm thực chất thuộc thư viện mã nguồn mở AdGuard, được các trình chặn quảng cáo chính thống tích hợp, chứ không phải do công ty tự viết.
