// HEISE ONLINE — CYBERSECURITY
YouTube-Werbeblocker mit 11 Millionen Installationen mit möglicher Hintertür
Adblock for YouTube kommt auf mehr als 11 Millionen Installationen. Es kann jedoch unkontrolliert Script-Code in jede Seite injizieren.
This article is also available in
English.
It was translated with technical assistance and editorially reviewed before publication.
IT-Sicherheitsforscher haben die Browser-Erweiterung „Adblock for Youtube“ untersucht und sind dabei auf eine potenzielle Sicherheitslücke gestoßen. Der Hersteller steht zudem mit Erweiterungen in Verbindung, die Google mit der Begründung „Malware“ aus dem Chrome Web Store geworfen hat. Nutzerinnen und Nutzer sollten auf Alternativen ausweichen.
Die IT-Forscher von island.io nennen in ihrer Analyse das Problem auch „BadBlocker“. Sie führen aus, dass der Werbeblocker „Adblock for Youtube“ (cmedhionkhpnakcndndgjdbohmhepckk) auf mehr als 11 Millionen Installationen kommt und mit mehr als 377.000 Bewertungen und einer Wertung von 4,4 von 5 möglichen Sternen weitreichend von Nutzerinnen und Nutzern Vertrauen genießt. In den Top-Charts der beliebtesten Erweiterungen landet es in Deutschland auf Platz 15. Tatsächlich blockiert er Werbung auf YouTube und funktioniert.
Allerdings enthält der Adblocker auch eine Möglichkeit, beliebigen JavaScript-Code in jede angezeigte Webseite zu schleusen. Dazu bedarf es keines Updates, das durch Prüfmechanismen des Webstores müsste, sondern lediglich einer serverseitigen Konfigurationsänderung. Eine derartige Änderung würde auch keine sichtbaren Auswirkungen haben, anhand derer Benutzerinnen und Benutzer sie erkennen könnten. Dadurch könne der Adblocker Webseiten auslesen, Daten stehlen oder als Nutzer in persönlichen Konten, Arbeits-Apps, Admin-Panels oder anderen vertraulichen Browsersitzungen agieren.
Die IT-Forscher betonen, dass sie ausdrücklich keinen bösartigen Schadcode entdeckt haben, der an Nutzer ausgeliefert worden wäre. Sie haben lediglich die Möglichkeit dazu aufgespürt, die 11 Millionen Browser betrifft. Sie weisen in dem Kontext darauf hin, dass der Entwickler der Erweiterung ein zumindest verdächtiges Profil hat, in dessen Verlauf auch Browser-Erweiterungen in Erscheinung treten, die Google mit der Begründung „Malware“ aus dem Chrome Web Store geworfen hat. Daraus leiten sie ein reales Risiko ab. Die entfernten Erweiterungen Adblock for Chrome (onomjaelhagjjojbkcafidnepbfkpnee) und Adblock for You (ogcaehilgakehloljjmajoempaflmdci) haben demnach Verknüpfungen zu Adblock for YouTube.
Die Erweiterung Adblock for YouTube kam im Jahr 2014 in den Chrome Web Store. Seitdem kam es zu einigen Code-Änderungen und Besitzerwechseln, etwa 2018 zum jetzigen Inhaber. Zwischenzeitlich wurde die Erweiterung mit dem Unistream-SDK verteilt, das Werbung in Seiten injiziert. Seit dem Besitzerwechsel wuchs die Verbreitung von wenigen 100.000 Nutzerinnen und Nutzern hin zu mehr als 10 Millionen. Zudem kam es zu nicht dokumentierten Verschiebungen darin, was die Erweiterung im Browser anstellen kann. Dennoch genießen gerade Adblocker hohes Vertrauen bei Nutzern, führen die Island-Forscher aus. Sie können Berechtigungen anfordern, die anderen Erweiterungen niemals erteilt würden.
Adblock for YouTube soll nur auf der YouTube-Webseite Werbung blockieren. Dennoch ist die Erweiterung auf allen besuchten Webseiten aktiv, weil das in dem Manifest der Erweiterung so festgelegt ist – anstatt sich auf URLs mit „youtube“-Bestandteil zu beschränken, genehmigt sie sich Zugriff auf „all_urls“. Das könnte eine Prüfung im Quellcode übernehmen, die die Erweiterung mitbringt. Die prüft jedoch nur, ob „youtube.com“ als Zeichenkette in der URL auftaucht. Das ermöglicht Zugriffe der Erweiterung auf alle möglichen Seiten, in denen der Aufruf angepasst wird. Island nennt als Beispiele „www.facebook.com/page?ref=youtube.com“ oder „bank.example.com/search?q=youtube.com“. Darauf hat Adblock for Youtube dann Zugriff.
Die Erweiterung fragt zudem alle 24 Stunden bei ihrem Server nach neuer Konfiguration an, sie setzt eine Anfrage etwa nach „https:/