Un popular bloqueador de anuncios en Chrome expone una vía latente para inyectar JavaScript
Un bloqueador de anuncios para YouTube con más de 10 millones de instalaciones en Chrome incluye un mecanismo que permitiría ejecutar JavaScript controlado desde un servidor remoto sin necesidad de actualizar la extensión. No hay pruebas de uso malicioso en ataques reales, pero el diseño eleva el riesgo, sobre todo en entornos corporativos.
Un bloqueador de anuncios para YouTube muy instalado en Google Chrome concentra el foco de la comunidad de seguridad por una capacidad de inyección de JavaScript que puede activarse desde el lado servidor. La extensión se llama Adblock for YouTube y aparece en la Chrome Web Store con el identificador cmedhionkhpnakcndndgjdbohmhepckk, superando los 10 millones de instalaciones.
El problema no reside en un exploit puntual, sino en una combinación de decisiones de diseño. La extensión pide permisos de host para
La propia lógica que intenta limitar su actuación a YouTube también resulta frágil. En lugar de validar el hostname o el origen real del contenido, la extensión comprueba si la cadena ‘youtube.com‘ aparece en la URL completa. Eso se puede sortear con facilidad añadiendo ese texto como parámetro o parte de la ruta en cualquier dominio, lo que abre la puerta a que las reglas se apliquen fuera del contexto previsto.
A partir de ahí entra el otro componente clave: la descarga periódica de reglas desde infraestructura remota. Esas reglas pueden incluir instrucciones para ejecutar scriptlets, pequeños fragmentos que modifican la página. Entre ellos figura trusted-create-element, capaz de crear elementos HTML, incluido un script, con contenido controlado por la configuración recibida. En la práctica, ese patrón habilita una vía para inyectar código en el contexto de la web que el usuario tiene abierta.
La capacidad se describe como latente porque, en el momento del análisis, el servidor no devolvía la opción activada. Aun así, el riesgo se mantiene: un cambio en la configuración remota podría alterar de forma sustancial el comportamiento de la extensión sin pasar por una actualización visible ni por una nueva revisión de la tienda. No se ha confirmado la distribución de payload malicioso a usuarios, pero el planteamiento encaja con escenarios clásicos de cadena de suministro.
El contexto no ayuda. En el ecosistema de Chrome, la retirada de extensiones relacionadas con malware se ha repetido en otras ocasiones, y se han citado identificadores de complementos que acabaron fuera de la tienda, como onomjaelhagjjojbkcafidnepbfkpnee, ogcaehilgakehloljjmajoempaflmdci y gekoepiplklhniacchbbgbhilidiojmb. En la ficha pública, Adblock for YouTube figura en la versión 7.2.2 y muestra una actualización fechada el 19 de mayo de 2026.
Para organizaciones, el consejo práctico es claro: conviene bloquear o poner en cuarentena esta extensión mediante políticas corporativas hasta completar una revisión interna. También merece la pena auditar complementos con permisos
Más información
- The Hacker News – Chrome Ad Blocker with 10M+ Installs Found with Dormant Script Injection Capability : https://thehackernews.com/2026/06/chrome-ad-blocker-with-10m-installs.html
- Island – BadBlocker: 11 Million Users, One Server Call Away from Compromise : https://www.island.io/blog/badblocker-11-million-users-one-server-call-away-from-compromise
- Chrome Web Store – Adblock for YoutubeTM : https://chromewebstore.google.com/detail/adblock-for-youtube/cmedhionkhpnakcndndgjdbohmhepckk?hl=en
La entrada Un popular bloqueador de anuncios en Chrome expone una vía latente para inyectar JavaScript se publicó primero en Una Al Día.
Powered by WPeMatico
