Extensão de bloqueio de anúncios com 10 milhões de instalações pode injetar código em qualquer site
Uma extensão popular do Chrome para bloquear anúncios no YouTube esconde a capacidade de executar JavaScript arbitrário em qualquer site visitado pelo usuário sem aviso, sem atualização.
A extensão que faz mais do que promete
Pesquisadores de segurança descobriram que a extensão Adblock for YouTube, presente na Chrome Web Store desde 2014 e com mais de 10 milhões de instalações, carrega uma capacidade oculta: executar código JavaScript arbitrário em qualquer site que o usuário visitar.
A extensão possui o selo "Featured" do Google, o que transmite uma falsa sensação de confiabilidade. Ela funciona como prometido bloqueia anúncios no YouTube mas sua arquitetura interna permite que um único comando enviado pelo servidor do desenvolvedor ative a injeção de scripts, sem qualquer atualização da extensão e sem passar por revisão da loja.
O que isso significa na prática
Segundo os pesquisadores da empresa Island, que publicaram a análise, a capacidade está dormente, mas presente. Se ativada, poderia permitir:
- Leitura do conteúdo de páginas abertas no navegador
- Roubo de dados digitados ou exibidos
- Ações em nome do usuário em contas pessoais, aplicativos corporativos e painéis administrativos
Para piorar, a extensão roda em todos os sites visitados, não apenas no YouTube. A verificação que deveria limitar sua atuação ao YouTube é falha: basta que a string "youtube.com" apareça em qualquer parte da URL inclusive em parâmetros de busca ou redirecionamentos para que a extensão considere o ambiente válido. Isso significa que sites como banco.com.br/busca?q=youtube.com também seriam afetados.
Histórico preocupante
A extensão mudou de proprietário em 2018 e já chegou a incluir um SDK de injeção de anúncios chamado Unistream SDK, removido apenas em junho de 2024. Outras extensões relacionadas ao mesmo desenvolvedor já foram removidas da Chrome Web Store por distribuição de malware.
Não há evidências de que a capacidade maliciosa tenha sido ativada até o momento da publicação. Mas a combinação de fatores alto número de instalações, acesso irrestrito a todos os sites, caminho de injeção remota e histórico suspeito representa um risco real e concreto.
Por que isso importa para empresas
Extensões de navegador são um vetor de ataque frequentemente ignorado. Em ambientes corporativos, funcionários instalam extensões nos computadores do trabalho sem qualquer controle ou política de TI. Uma extensão comprometida tem acesso ao mesmo navegador usado para acessar o sistema financeiro, o ERP, o e-mail corporativo e os painéis de gestão.
A recomendação prática é clara: revise as extensões instaladas nos navegadores da sua empresa. Remova o que não é necessário, bloqueie instalações não autorizadas via política e mantenha um inventário atualizado. Ambientes sem essa governança estão expostos a riscos que nenhum antivírus tradicional consegue detectar.
Precisa de suporte especializado em TI?
Nossa equipe está pronta para ajudar sua empresa.