Tiện ích chặn quảng cáo Chrome với hơn 10 triệu lượt cài đặt bị phát hiện chứa mã độc tiềm ẩn

Các nhà nghiên cứu bảo mật từ Island vừa đưa ra cảnh báo về tiện ích mở rộng Adblock for YouTube (ID: cmedhionkhpnakcndndgjdbohmhepckk) trên trình duyệt Google Chrome. Dù sở hữu hơn 10 triệu lượt cài đặt và được gắn nhãn “Featured” (Nổi bật) trên Chrome Web Store, tiện ích này được phát hiện chứa các thành phần kiến trúc cho phép thực thi mã JavaScript tùy ý trên bất kỳ trang web nào.

Cơ chế hoạt động nguy hiểm

Theo báo cáo, khả năng thực thi mã độc này hiện đang ở trạng thái “ngủ đông”. Tuy nhiên, nó có thể được kích hoạt từ xa thông qua thay đổi cấu hình phía server mà không cần cập nhật tiện ích hay thông qua quy trình kiểm duyệt của Google. Điều này đồng nghĩa với việc kẻ tấn công có thể âm thầm đánh cắp dữ liệu, chiếm quyền điều khiển tài khoản hoặc thực hiện các hành vi trái phép trên trình duyệt của người dùng mà không để lại dấu vết.

Lỗ hổng trong kiểm soát phạm vi hoạt động

Mặc dù tiện ích quảng cáo rằng chỉ hoạt động trên YouTube, các nhà nghiên cứu phát hiện nó thực tế được chạy trên mọi trang web mà người dùng truy cập. Cơ chế kiểm tra URL của tiện ích này rất lỏng lẻo, chỉ cần chuỗi “youtube.com” xuất hiện ở bất kỳ đâu trong đường dẫn (ví dụ: bank.example.com/search?q=youtube.com) là có thể bypass các hạn chế bảo mật.

Tiền sử đáng ngờ

Đáng chú ý, đây không phải là lần đầu tiên các tiện ích liên quan đến nhà phát triển này gặp vấn đề. Một số tiện ích khác cùng hệ sinh thái đã bị gỡ bỏ khỏi Chrome Web Store do vi phạm chính sách về malware. Trước đây, phiên bản cũ của Adblock for YouTube từng tích hợp bộ công cụ quảng cáo (SDK) gây tranh cãi, dù đã được loại bỏ vào giữa năm 2024.

Hiện tại, chưa có bằng chứng cho thấy mã độc đã được phát tán rộng rãi tới người dùng cuối. Tuy nhiên, các chuyên gia khuyến cáo người dùng nên thận trọng với các tiện ích mở rộng yêu cầu quyền truy cập vào tất cả các trang web, ngay cả khi chúng có số lượng cài đặt lớn và uy tín lâu năm.

Nguồn tham khảo: The Hacker News