Adblock for YouTube : 11 millions d'installations et une grave faille à corriger !

Adblock for YouTube : 11 millions d’installations et une grave faille à corriger

Plus de 10 millions d’installations, un badge spécial sur le Chrome Web Store, et une fonction d’injection de code prête à être activée à distance. C’est le portrait dressé par les chercheurs d’Island concernant l’extension Chrome Adblock for YouTube. Bien qu’elle soit efficace pour bloquer les publicités, elle embarque également la capacité d’exécuter du JavaScript arbitraire sur n’importe quel site.

Une extension YouTube qui tourne sur tous les sites

L’extension en question, Adblock for YouTube (ID cmedhionkhpnakcndndgjdbohmhepckk), est présente sur le Chrome Web Store depuis 2014. Elle revendique plus de 10 millions d’installations, 374 000 avis, et affiche une note de 4,4 sur 5, ce qui lui confère un profil rassurant pour les utilisateurs désireux de bloquer les publicités sur YouTube.

Cependant, un rapport publié par les chercheurs d’Island soulève des préoccupations. Pourquoi une extension censée se limiter à YouTube demande-t-elle l’accès à toutes les URL visitées, y compris celles de webmail, de banques en ligne et d’applications internes ?

Une injection de code dormante

L’extension récupère sa configuration toutes les 24 heures depuis un serveur distant (api.adblock-for-youtube.com/api/v2/rules). Cette réponse contient non seulement les règles de blocage, mais également un champ scripletsRules, permettant au serveur de désigner les scripts à exécuter. L’un d’eux, trusted-create-element, peut créer un élément

Artia13 Actualité

GRATUIT
VOIR