YouTube-Werbeblocker mit 11 Millionen Installationen mit möglicher Hintertür

IT-Sicherheitsforscher haben die Browser-Erweiterung „Adblock for Youtube“ untersucht und sind dabei auf eine potenzielle Sicherheitslücke gestoßen. Der Hersteller steht zudem mit Erweiterungen in Verbindung, die Google mit der Begründung „Malware“ aus dem Chrome Web Store geworfen hat. Nutzerinnen und Nutzer sollten auf Alternativen ausweichen.

Die IT-Forscher von island.io nennen in ihrer Analyse das Problem auch „BadBlocker“. Sie führen aus, dass der Werbeblocker „Adblock for Youtube“ (cmedhionkhpnakcndndgjdbohmhepckk) auf mehr als 11 Millionen Installationen kommt und mit mehr als 377.000 Bewertungen und einer Wertung von 4,4 von 5 möglichen Sternen weitreichend von Nutzerinnen und Nutzern Vertrauen genießt. In den Top-Charts der beliebtesten Erweiterungen landet es in Deutschland auf Platz 15. Tatsächlich blockiert er Werbung auf YouTube und funktioniert.

Kuckucksei im Werbeblocker

Allerdings enthält der Adblocker auch eine Möglichkeit, beliebigen JavaScript-Code in jede angezeigte Webseite zu schleusen. Dazu bedarf es keines Updates, das durch Prüfmechanismen des Webstores müsste, sondern lediglich einer serverseitigen Konfigurationsänderung. Eine derartige Änderung würde auch keine sichtbaren Auswirkungen haben, anhand derer Benutzerinnen und Benutzer sie erkennen könnten. Dadurch könne der Adblocker Webseiten auslesen, Daten stehlen oder als Nutzer in persönlichen Konten, Arbeits-Apps, Admin-Panels oder anderen vertraulichen Browsersitzungen agieren.

Die IT-Forscher betonen, dass sie ausdrücklich keinen bösartigen Schadcode entdeckt haben, der an Nutzer ausgeliefert worden wäre. Sie haben lediglich die Möglichkeit dazu aufgespürt, die 11 Millionen Browser betrifft. Sie weisen in dem Kontext darauf hin, dass der Entwickler der Erweiterung ein zumindest verdächtiges Profil hat, in dessen Verlauf auch Browser-Erweiterungen in Erscheinung treten, die Google mit der Begründung „Malware“ aus dem Chrome Web Store geworfen hat. Daraus leiten sie ein reales Risiko ab. Die entfernten Erweiterungen Adblock for Chrome (onomjaelhagjjojbkcafidnepbfkpnee) und Adblock for You (ogcaehilgakehloljjmajoempaflmdci) haben demnach Verknüpfungen zu Adblock for YouTube.

Die Erweiterung Adblock for YouTube kam im Jahr 2014 in den Chrome Web Store. Seitdem kam es zu einigen Code-Änderungen und Besitzerwechseln, etwa 2018 zum jetzigen Inhaber. Zwischenzeitlich wurde die Erweiterung mit dem Unistream-SDK verteilt, das Werbung in Seiten injiziert. Seit dem Besitzerwechsel wuchs die Verbreitung von wenigen 100.000 Nutzerinnen und Nutzern hin zu mehr als 10 Millionen. Zudem kam es zu nicht dokumentierten Verschiebungen darin, was die Erweiterung im Browser anstellen kann. Dennoch genießen gerade Adblocker hohes Vertrauen bei Nutzern, führen die Island-Forscher aus. Sie können Berechtigungen anfordern, die anderen Erweiterungen niemals erteilt würden.

Erweiterung ist überall aktiv

Adblock for YouTube soll nur auf der YouTube-Webseite Werbung blockieren. Dennoch ist die Erweiterung auf allen besuchten Webseiten aktiv, weil das in dem Manifest der Erweiterung so festgelegt ist – anstatt sich auf URLs mit „youtube“-Bestandteil zu beschränken, genehmigt sie sich Zugriff auf „all_urls“. Das könnte eine Prüfung im Quellcode übernehmen, die die Erweiterung mitbringt. Die prüft jedoch nur, ob „youtube.com“ als Zeichenkette in der URL auftaucht. Das ermöglicht Zugriffe der Erweiterung auf alle möglichen Seiten, in denen der Aufruf angepasst wird. Island nennt als Beispiele „www.facebook.com/page?ref=youtube.com“ oder „bank.example.com/search?q=youtube.com“. Darauf hat Adblock for Youtube dann Zugriff.

Die Erweiterung fragt zudem alle 24 Stunden bei ihrem Server nach neuer Konfiguration an, sie setzt eine Anfrage etwa nach „ ab. Zurück kommen Adblocker-Regeln wie Netzwerkfilter, CSS-Selectors, aber auch ein Feld namens „scriptletsRules“. Eine Sammlung solcher JavaScript-Funktionen, die zum Blockieren von Werbung dienen, bringt Adblock for YouTube mit; das sei auch üblich für Adblocker. Der Server kontrolliert, welche davon mit welchen Argumenten ausgeführt werden. Die serverseitigen Anweisungen können bei Adblock for YouTube zum Einschleusen von JavaScript-Code führen. Als Proof-of-Concept haben die IT-Forscher den Adblock-for-YouTube-Server imitiert. Der antwortet mit manipuliertem scriptletsRules-Eintrag, der auf Aktivierung durch den Besuch auf YouTube wartet. Surfen User YouTube an, injiziert sich das serverseitig gesendete Script in die Webseite und kann im Hintergrund konkret etwa die Salesforce-Webseite aufrufen; mit eingeschleustem „youtube.com“-String hat die Erweiterung nun auch darauf vollen Zugriff. Der Proof-of-Concept liest nur die Daten aus, auf die User zugreifen können, und sendet sie zurück an den gefälschten Server. Das Ganze ist mit nur einer serverseitigen Änderung möglich.

Verdächtig ist den IT-Sicherheitsforschern nicht die eine zwielichte Zeile an Code, führen sie aus, sondern die Kombination aus hoher Installationsanzahl mit Zugriff auf alle Seiten, ein aus der Ferne kontrollierbarer Pfad zum Einschleusen von Code und frühere Werbeeinschleusungsinfrastruktur, größere Besitzer- und Codebasis-Änderungen und damit verbundene Erweiterungen, die wegen Malwareanzeichen aus dem Chrome Web Store geworfen wurden. Sie wiederholen, dass sie keinen konkreten Missbrauch beobachtet haben, aber ein Risikoprofil, das ernsthafte Aufmerksamkeit benötigt.

Etwa in Unternehmen sollte keine allgemeine Blockade aller Werbeblocker erfolgen, da gute tatsächlich nützlich seien. Sie liefern eine Handreichung sowie Anzeichen für Vorhandensein der Erweiterung in Form von Indicators of Compromise (IOC).

Mitte Februar hatte die IT-Forschergemeinschaft „Q Continuum“ hunderte Erweiterungen entdeckt, teils ebenfalls mit Millionen von Installationen, die ihre Nutzer ausspähen und etwa den Browserverlauf der Nutzer an ihre Hersteller senden.

(dmk)