
網絡安全公司Island報告指出,熱門瀏覽器插件「Adblock for Youtube™」存在嚴重遠端操控漏洞。遠端伺服器可在用戶不知情下每24小時更新並注入代碼,繞過檢查機制讀取敏感賬戶資料。開發商已承諾提交更新版本修正,專家則建議香港用戶及企業核對識別碼、更新至最新版本或徹底移除。
即刻【按此】,用 App 睇更多產品開箱影
千萬用戶 YouTube 擋廣告工具爆資安風險 遠端操控插件漏洞曝光
不少市民為了節省開支,會在瀏覽器安裝擋廣告擴充功能(插件)來阻擋 YouTube 影片廣告。然而,網絡安全專家近日發出警告,在 Chrome 網上應用程式商店擁有超過 1,000 萬次安裝紀錄的熱門插件「Adblock for Youtube™」,被證實存在嚴重的遠端操控安全漏洞。遠端伺服器可在用戶不知情下,隨時改變插件的行為,恐成網絡安全重大漏洞。
可通過後門隨時被修改然後惡意利用
根據網絡安全公司 Island 的最新研究報告,這款已獲得 Chrome 官方認證標章的熱門工具,其內部架構存在一個可由遠端伺服器觸發的代碼注入路徑。簡單來說,它就像在用戶的瀏覽器內留了一道「後門」,雖然目前該功能運作正常,但遠端伺服器隨時有能力改變其運作邏輯。鑑於其用戶基數高達千萬級別,一旦這條路徑被惡意利用,其帶來的私隱安全衝擊將難以估量。
每日連線伺服器更新代碼
資安外媒《The Hacker News》引述 Island 研究人員的調查指出,該插件在運作時,每隔大約 24 小時便會自動連線至後端伺服器(api.adblock-for-youtube.com)。
研究發現,伺服器回傳的數據中,包含了一個特殊的指令欄位。這意味着遠端伺服器擁有絕對主導權,可以決定插件何時執行哪些微型程式碼(scriptlet),甚至可以直接把特定代碼當作參數傳入,逼使瀏覽器執行。
透過遠端伺服器傳入參數在網頁內執行
一般而言,廣告攔截工具利用微型程式碼來處理廣告或彈出式視窗是很常見的做法。然而,「Adblock for Youtube™」的核心隱憂在於,這些程式碼在安裝後,仍可由遠端伺服器持續指定和動態調整。
Island 的技術分析指出,插件內建了一個負責在網頁中建立新元素的工具。如果遠端伺服器傳送進來的是具備執行能力的 JavaScript 程式碼,該插件就會直接在用戶正瀏覽的網頁環境中將其執行。不過外媒隨後補充,該內建工具並非開發商 AdBlock Ltd. 自行撰寫,而是源自開源項目。目前引發爭議的,是插件的設計容許遠端伺服器直接觸及並啟用這條潛在的代碼注入路徑。
惡意插件讀取帳戶資料?
為了引證這項風險並非單純理論,Island 研究團隊在受控的測試環境中進行了「概念驗證」(PoC)測試。研究人員在完全不修改插件本體的前提下,模擬了伺服器的回傳訊號。
測試結果顯示,當用戶開啟一個網址內剛好包含 youtube.com 字眼的其他網站(例如特定的公司 Salesforce 系統頁面)時,該插件的網址檢查機制會出現漏洞並判定通過。研究團隊成功示範,在此情況下插件可直接讀取使用者畫面上可見的 Salesforce 敏感賬戶資料,並將數據傳送回測試伺服器。
針對此項報告,Island 強調測試僅證實了「這條危險路徑確實存在」,並非指該工具目前已實質參與竊取用戶資料。開發商 AdBlock Ltd. 創辦人 Mathias Rochus 亦明確回應,該插件從未使用過這項能力,未來亦絕對不會使用。公司已準備向 Chrome 商店提交更新版本,將網址檢查機制改為更嚴格的域名驗證,並完全禁止伺服器端注入任何可執行腳本。
自保指南
面對潛在的資安威脅,香港市民及企業用戶應採取以下主動防禦措施,以保障個人私隱與公司商業機密。
自查查是否誤裝高風險 Adblock for Youtube™ 插件
1. 用戶應立即在瀏覽器網址列輸入 chrome://extensions/ 進入擴充功能管理頁面,仔細核對目前已安裝的擋廣告工具。
2. 必須確認該功能的開發者是否為 AdBlock Ltd.,並比對其官方唯一的識別碼(Extension ID)是否為:cmedhionkhpnakcndndgjdbohmhepckk。
3. 若發現該插件現時已不常用,專家強烈建議直接將其徹底移除。
4. 若打算繼續使用,則必須確保插件已自動更新至 7.2.3 或以上版本。由於目前暫無證據顯示已有惡意程式碼向公眾發送,用戶暫時毋須恐慌性重設所有密碼。
曾在安裝期間登入過網銀和雲端硬碟等敏感服務?
如果用戶在安裝及使用此款插件期間,曾經登入過公司後台系統、網絡銀行、CRM 系統或雲端硬碟等敏感服務,且對現狀仍存有顧慮,建議採取以下補救步驟:
- 主動登出該等重要服務的所有其他活動中工作階段(Active Sessions)。
- 檢查賬戶近期的登入紀錄,排除異常存取。
- 確保所有敏感賬戶均已強制啓用雙重認證(2FA)。
企業 IT 管理者應如何評估或暫停封鎖該 Extension ID?
對於企業或團隊網絡環境,資訊安全主管應採取更果斷的管控措施:
- 在企業集中管理後台,率先將上述 Extension ID(cmedhionkhpnakcndndgjdbohmhepckk)列入暫停或封鎖名單,禁止員工在辦公裝置上運行。
- 持續追蹤 Chrome 網網商店的審查更新狀態。
- 直至官方給出更為明確、透明的修正說明後,再重新評估是否向企業內部員工開放該工具的使用權限。
片
Source: ezone.hk、TheHackerNews
【相關報道】
【相關話題】消委會評測網絡安全軟件24款評分比較 1免費神器5星防毒還自帶VPN
香港過半保安事故涉及網絡釣魚!消委會防毒軟件2026最新報告出爐,聯合國際組織深度評測 24 款收費與免費防毒產品。實測發現,Windows 11 內置防護竟然出現嚴重Windows 11 防毒漏洞,釣魚防禦僅得 1 分!到底各大品牌的防毒軟件排名誰奪冠?邊款免費防毒軟件推薦最唔佔記憶體?即睇消委會26款網絡安全軟件評測精華與ezone編輯部防伏短評。
Source: ezone.hk
