Basado en información de The Hacker News →
Introducción
Una extensión de bloqueo de anuncios para YouTube, con millones de usuarios y una insignia de “Destacado” en la tienda oficial, cargaba silenciosamente la capacidad de ejecutar JavaScript arbitrario en cualquier sitio. Hasta ahora, nadie había activado ese poder oculto, pero el hecho de que exista revela una vulnerabilidad sistémica en la cadena de confianza de las extensiones.
El problema
The Hacker News reportó que investigadores de la firma Island analizaron una extensión de Chrome llamada Adblock for YouTube (ID: cmedhionkhpnakcndndgjdbohmhepckk), que cuenta con más de 10 millones de instalaciones y luce la insignia “Featured” en la Chrome Web Store. El análisis descubrió que la extensión incluía la capacidad de ejecutar código JavaScript arbitrario en el navegador, una funcionalidad que permanecía “durmiente” —sin activarse— pero lista para ser aprovechada en cualquier momento.
Consecuencias
Si un atacante lograra tomar control del servidor de actualización o de la propia extensión, podría haber inyectado código malicioso en tiempo real a más de diez millones de usuarios. Esto habilitaría robo de credenciales, secuestro de sesiones, minería de criptomonedas o incluso la instalación de puertas traseras persistentes, todo sin que el usuario percibiera nada anómalo.
Causas
La causa raíz, según la información pública disponible, es la falta de controles robustos en el pipeline de publicación y actualización de extensiones. La capacidad de inyectar scripts arbitrarios estaba incluida en el código base de la extensión, pero desactivada (durmiente), lo que sugiere que los mecanismos de revisión de Google no detectaron esta funcionalidad latente durante el proceso de aprobación o en las actualizaciones posteriores.