Investigadores de seguridad informática de la empresa island.io han detectado una vulnerabilidad crítica en la extensión de navegador 'Adblock for YouTube', que acumula más de 11 millones de instalaciones en Chrome y figura entre las más populares en Alemania. La herramienta puede inyectar código JavaScript arbitrario en cualquier página web mediante un simple cambio en la configuración del servidor, sin necesidad de actualizar la extensión ni pasar los controles del Chrome Web Store. Esta capacidad permitiría robar datos, leer el contenido de sitios visitados o actuar en nombre del usuario en cuentas personales, paneles de administración y otras sesiones confidenciales. La extensión opera en todas las páginas visitadas porque su manifiesto concede acceso a 'all_urls', y su comprobación interna solo verifica que la URL contenga la cadena 'youtube.com', un filtro fácilmente eludible con parámetros como 'facebook.com/page?ref=youtube.com'. Cada 24 horas consulta un servidor remoto que puede devolver reglas, incluidos 'scriptletsRules' capaces de ejecutar funciones con argumentos arbitrarios. Los investigadores demostraron la vulnerabilidad con una prueba de concepto: imitaron el servidor y, al visitar YouTube, el código inyectado accedió a una página de Salesforce. Aunque no han observado código malicioso activo, señalan un perfil de riesgo elevado: el desarrollador tiene extensiones previamente expulsadas del Chrome Web Store por contener 'malware', y desde el cambio de propietario en 2018 las instalaciones crecieron de cientos de miles a más de diez millones, acompañado de modificaciones no documentadas en los permisos. Recomiendan a los usuarios migrar a alternativas y aportan indicadores de compromiso para detectar la extensión en entornos corporativos.
