تحذير: أداة حظر إعلانات Chrome بـ 10M+ تنصيب تخفي قدرة حقن سكريبت

مقدمة تحليلية

كشف تحليل حديث أن إضافة شهيرة لحظر الإعلانات على متصفح Google Chrome، تحمل اسم "Adblock for YouTube" ويستخدمها أكثر من 10 ملايين شخص، تحتوي على قدرة كامنة وخطيرة لتنفيذ أكواد JavaScript عشوائية. هذه الإمكانية، التي يمكن تفعيلها بتغيير بسيط من جانب الخادم دون الحاجة لتحديث الإضافة أو مراجعة متجر Chrome Web Store، تثير مخاوف جدية بشأن أمن المستخدمين وخصوصيتهم. تُقدم الإضافة وظائفها المعلنة بحظر الإعلانات على YouTube والمواقع التي تعرض محتوى المنصة، لكن الباحثين من Island، الذين اكتشفوا الثغرة، يؤكدون أن بنيتها المعمارية تتيح لها القدرة على قراءة صفحات الويب، وسرقة البيانات الحساسة، والتصرف نيابة عن المستخدم داخل حساباته الشخصية وتطبيقات العمل. وعلى الرغم من عدم وجود دليل على استغلال هذه القدرة الخبيثة حتى الآن، فإن مجرد وجودها، إلى جانب تاريخ الإضافة وتغييرات الملكية، يشكل تهديداً أمنياً لا يمكن تجاهله.

التحليل التقني

تكمن خطورة هذه الإضافة، التي تحمل المعرف (ID: cmedhionkhpnakcndndgjdbohmhepckk)، في آلية حقن السكريبتات التي تم رصدها منذ فبراير 2025. تعتمد الإضافة على مكتبة من الـ scriptlets (دوال JavaScript صغيرة) تستخدم لحظر الإعلانات، ويقوم الخادم باختيار أي منها سيتم تشغيله وما هي الوسائط التي ستُمرر إليه. من بين هذه الـ scriptlets يوجد "trusted-create-element"، الذي يُستخدم لإنشاء عناصر HTML في الصفحة.

• الآلية: إذا قام الخادم بتمرير النوع "script" كعنصر ونفذ JavaScript كمحتوى، فسيتم تشغيل هذا السكريبت في سياق الصفحة بالكامل.
• القدرات: يمكن للسكريبت المنفذ قراءة البيانات الحساسة من الصفحة، بما في ذلك بيانات تسجيل الدخول، المعلومات الشخصية، ومحتوى التطبيقات الحساسة.
• الوضع: هذه القدرة حالياً "كامنة" (dormant)، أي أنها غير نشطة في استجابات الخادم وقت التحليل، ولكن يمكن تفعيلها بـ "تغيير واحد من جانب الخادم" دون أي تحديث للإضافة أو مراجعة من Google.
• الصلاحيات: تتطلب إضافات حظر الإعلانات عادةً صلاحيات واسعة النطاق لفحص الطلبات، وتعديل الصفحات، وإخفاء العناصر، وتكييف سلوكها مع تطور أنظمة الإعلانات، مما يجعلها أهدافاً مغرية للاستغلال.
• تجاوز فحص YouTube: على الرغم من أن الإضافة مصممة للعمل على YouTube، فقد وُجد أنها تعمل على "كل موقع يزوره المستخدم"، مع فحص بسيط يتحقق مما إذا كانت السلسلة "youtube.com" موجودة في URL. يمكن تجاوز هذا الفحص بسهولة عن طريق وضع "youtube.com" في أي مكان داخل عنوان URL، مثل:
• `www.facebook.com/page?ref=youtube.com`
• `bank.example.com/search?q=youtube.com`
• `internal.corp.com/redirect?from=youtube.com`

يشير هذا التجاوز إلى أن الإضافة لديها وصول أوسع بكثير مما هو معلن عنه، مما يزيد من نطاق الضرر المحتمل في حالة تفعيل حقن السكريبت.

السياق وتأثير السوق

لم تكن هذه الإضافة بمنأى عن التغييرات الجذرية؛ فقد كانت مجرد أداة بسيطة لحظر إعلانات YouTube عند إطلاقها في عام 2014، لكنها "غيرت ملكيتها بعد أربع سنوات". كما أنها في نسخها المبكرة كانت تحتوي على حزمة تطوير برمجيات (SDK) لحقن الإعلانات تُدعى Unistream SDK، والتي تم إزالتها في يونيو 2024. هذا التاريخ، بالإضافة إلى وجود علاقات مع إضافات حظر إعلانات أخرى تم إزالتها من المتجر بسبب احتوائها على برامج ضارة (مثل Adblock for Chrome و Adblock for You و AdBlock Suite)، يرفع من مستوى الشكوك. تأتي هذه الكشوفات في وقت كشفت فيه Palo Alto Networks Unit 42 عن اكتشافها لـ 18 إضافة متصفح تنتحل صفة علامات تجارية استهلاكية بهدف تحقيق الدخل من خلال التسويق بالعمولة. هذا السياق الأوسع يؤكد على المشكلة المتنامية لإساءة استخدام صلاحيات إضافات المتصفح، حتى تلك التي تبدو غير ضارة أو مفيدة. إن الثقة التي يضعها المستخدمون في هذه الأدوات، خاصة تلك التي تحمل شارة "Featured" من Chrome Web Store، يمكن أن تُستغل بسهولة لتنفيذ هجمات واسعة النطاق.

رؤية Glitch4Techs

من منظور Glitch4Techs، لا يكمن الخطر في مجرد سطر واحد مشبوه من الكود، بل في "التركيبة" الكاملة: إضافة ذات عدد تنصيبات عالٍ جداً (10M+)، مع صلاحية الوصول الشامل إلى جميع المواقع، ومسار حقن سكريبت يمكن التحكم به عن بعد، وبنية تحتية سابقة لحقن الإعلانات، وتغيير كبير في الملكية وقاعدة الكود، وارتباطها بإضافات أخرى أزيلت بسبب البرامج الضارة. هذه المكونات معاً ترسم صورة مقلقة للغاية. على الرغم من تأكيد مؤسس AdBlock Ltd، Mathias Rochus، بأن الإضافة "لم تستخدم هذه القدرة أبداً ولن تستخدمها"، وأن تحديثاً قادماً لمتجر Chrome Web Store سيُغلق ثغرة التحقق من الـ URL وسيزيل قدرة الخادم على إنشاء أو حقن سكريبت قابل للتنفيذ، فإن مجرد وجود هذه القدرة الكامنة يمثل نقطة ضعف حرجة. الثغرة تسمح بتجاوز مراجعات المتجر وآليات التحديث، مما يعني أن المطورين يمكنهم إدخال تعليمات برمجية ضارة إلى ملايين المستخدمين دون علمهم أو موافقتهم. يجب على المستخدمين توخي أقصى درجات الحذر عند تثبيت أي إضافة لمتصفح، والتفكير ملياً في الصلاحيات التي تطلبها. حتى الإضافات التي تبدو شرعية ومفيدة يمكن أن تتحول إلى ناقلات للبرامج الضارة إذا سقطت في الأيدي الخطأ أو تم استغلال ثغرات في تصميمها. إن قدرة التحكم بالسكريبتات عن بعد هي قوة هائلة، وفي السياق الخاطئ، يمكن أن تصبح سيفاً ذا حدين يهدد أمن وخصوصية مستخدمي الويب على نطاق واسع. تظل توصية Glitch4Techs هي المراجعة الدورية للصلاحيات الممنوحة للإضافات، وإزالة أي إضافة لا يتم استخدامها أو تبدو مشبوهة.