Im Zentrum der Analyse steht eine Funktion, die nach Darstellung von Island derzeit zwar nicht aktiv genutzt wird, aber vorhanden ist. Oleg Zaytsev und Shachar Gritzman schreiben, die Erweiterung enthalte „die architektonischen Zutaten für die Ausführung beliebigen JavaScript-Codes auf jeder Website“, auslösbar durch „eine einzige serverseitige Konfigurationsänderung“, ohne Erweiterungs-Update, ohne Store-Prüfung und ohne sichtbares Zeichen für Nutzer.

Konkret fanden die Forscher seit Februar 2025 ferngesteuerte Pfade zur Skript-Injektion. Diese ermöglichen die Erzeugung beliebiger „<script>“-Elemente über eine vom Autor der Erweiterung definierte spezielle Scriptlet-Regel namens „trusted-create-element“. Darüber ließen sich wiederum sensible Daten erreichen. Zum Zeitpunkt der Untersuchung sei „trusted-create-element“ in der Server-Antwort allerdings nicht aktiv gewesen. Die Fähigkeit sei „ruhend, nicht abwesend“, so die Forscher.

Island betont, dass es keine Belege für die Verteilung einer schädlichen Nutzlast über diesen Mechanismus gibt. Das Risiko ergebe sich aus der Kombination mehrerer Faktoren: einer weit verbreiteten Erweiterung mit Zugriff auf alle Websites, einem ferngesteuerten Injektionspfad, einer früheren Infrastruktur zur Anzeigen-Injektion, einem erheblichen Wechsel bei Eigentümer und Codebasis sowie verwandten Erweiterungen, die wegen Malware aus dem Chrome Web Store entfernt wurden.

Die Erweiterung ist laut Bericht seit 2014 im Chrome Web Store. Zunächst handelte es sich um einen einfachen YouTube-Werbeblocker, bevor vier Jahre später die Eigentümerschaft wechselte. In frühen Versionen war nach Angaben der Analyse das Ad-Injection-SDK „Unistream SDK“ enthalten; es wurde im Juni 2024 entfernt.

Zusätzlich heben die Forscher hervor, dass Werbeblocker typischerweise weitreichende Berechtigungen anfordern, um Anfragen zu prüfen, Seiten zu verändern, Elemente auszublenden und ihr Verhalten an neue Werbesysteme anzupassen. Bei „Adblock for YouTube“ komme hinzu, dass die Erweiterung entgegen ihrem Namen auf jeder Website laufe, die ein Nutzer im Browser besucht. Zwar gebe es eine Prüfung, die nur aktiv werden solle, wenn die aktuelle URL „youtube.com“ enthält. Tatsächlich werde aber lediglich kontrolliert, ob die Zeichenfolge „youtube.com“ irgendwo in der URL vorkommt. Hostname, Frame-Herkunft oder der Kontext eines eingebetteten Players würden nicht verifiziert.

Dadurch lasse sich die Prüfung laut Island trivial umgehen, indem „youtube.com“ irgendwo in die URL eingebaut wird. Der Sicherheitsforscher zufolge ist damit nicht eine einzelne verdächtige Codezeile das Problem, sondern die Gesamtarchitektur.

The Hacker News hat nach eigenen Angaben den Entwickler der Erweiterung um eine Stellungnahme gebeten. Eine Antwort lag zunächst nicht vor.

Parallel dazu meldete Palo Alto Networks Unit 42 den Fund von 18 Browser-Erweiterungen, die sich als Verbrauchermarken ausgeben und über Affiliate-Marketing Geld verdienen sollen. Nach der Installation öffneten alle diese Erweiterungen laut Unit 42 eine „.shop“-Domain in einem neuen Tab. Diese leite auf eine andere Domain weiter, auf der Nutzer zu weiteren Schritten aufgefordert würden. Dort werde auf angebliche Kompatibilitätsprobleme verwiesen und zur Installation eines auf Spiele ausgerichteten Browsers gedrängt.