Một phân tích về tiện ích chặn quảng cáo phổ biến trên Google Chrome dành cho YouTube đã phát hiện ra khả năng thực thi mã JavaScript tùy ý. Theo Island, tiện ích mở rộng có tên Adblock for YouTube (ID: cmedhionkhpnakcndndgjdbohmhepckk) đã có hơn 10 triệu lượt cài đặt và được gắn huy hiệu "Nổi bật" trên Chrome Web Store.

Mô tả của tiện ích mở rộng cho biết nó cho phép người dùng ngăn chặn các yếu tố trên trang web như quảng cáo, bao gồm cả quảng cáo trước video, hiển thị trên nền tảng chia sẻ video, cũng như trên các trang web bên ngoài tải YouTube. Mặc dù tiện ích bổ sung cung cấp chức năng đã hứa, nhưng nó cũng có khả năng chạy mã JavaScript tùy ý. "Nó cũng chứa các thành phần kiến ​​trúc để thực thi JavaScript tùy ý trên bất kỳ trang web nào, được kích hoạt bằng một thay đổi cấu hình phía máy chủ duy nhất, mà không cần cập nhật tiện ích mở rộng, không cần xem xét của cửa hàng và không có bất kỳ dấu hiệu nào cho thấy có gì đó đã thay đổi," các nhà nghiên cứu Oleg Zaytsev và Shachar Gritzman cho biết. "Về mặt thực tế, điều đó có thể có nghĩa là đọc các trang, đánh cắp dữ liệu và giả mạo người dùng trong các tài khoản cá nhân, ứng dụng công việc, bảng điều khiển quản trị và các phiên trình duyệt nhạy cảm khác".

Điều đáng nhấn mạnh ở đây là không có bằng chứng nào cho thấy phần mềm độc hại đã được phát tán đến người dùng theo cách này, nhưng sự hiện diện của khả năng này, cùng với mối liên hệ với các tiện ích mở rộng chặn quảng cáo khác đã bị xóa khỏi cửa hàng ứng dụng vì chứa phần mềm độc hại, làm dấy lên rủi ro về quyền riêng tư và bảo mật, Island nói thêm.
Danh sách các tiện ích mở rộng liên quan đã bị gỡ bỏ được liệt kê bên dưới:
Adblock for Chrome (ID: onomjaelhagjjojbkcafidnepbfkpnee)
Adblock for You (ID: ogcaehilgakehloljjmajoempaflmdci)
AdBlock Suite (ID: gekoepiplklhniacchbbgbhilidiojmb)

Trích lược Ravie Lakshmanan https://thehackernews.com/2026/06/chrome-ad-blocker-with-10m-installs.html