# Analýza škodlivého rozšíření Chrome maskovaného jako panel YouTube
V Chrome Web Store bylo objeveno rozšíření „Youside — boční panel YouTube“, které ve skutečnosti nemá nic společného s funkcemi YouTube. Místo slíbených možností – vestavěného přehrávače, správy odběrů a rychlého přístupu – implementuje thin-client pro externí backend s vzdáleným ovládáním rozhraní, sběrem uživatelských dat a skrytou monetizací.
Architektura: klient bez logiky
Rozšíření s identifikátorem mmecpiobcdbjkaijljohghhpfgngpjmk demonstruje typickou architekturu škodlivého softwaru: minimum lokální logiky, maximum závislosti na externím serveru. Při spuštění se generuje nebo načte perzistentní user_id z localStorage, poté se provede požadavek na API na adrese https://mines.cloudapi.stream/user_info. Odpověď serveru plně určuje chování uživatelského rozhraní – od zobrazení prvků po obsah HTML bloků.
Klíčové vlastnosti:
- Žádné volání YouTube API nebo domény
youtube.com - Žádná implementace IFrame Player API
- Žádná logika pro zpracování odběrů, vyhledávání videí nebo práci s videopotokem
- Všechny akce jsou řízeny odpověďmi externího serveru
To umožňuje útočníkům dynamicky měnit chování rozšíření bez nutnosti aktualizace kódu v obchodě.
Vzdálené ovládání rozhraním
Server vrací JSON objekt s poli success, is_valid, rating a protxt. Klientní část tyto údaje přímo aplikuje na DOM bez jakékoli validace:
if (result.is_valid) {
proplansID.classList.add('h_');
playBtn.classList.remove('h_');
} else {
playBtn.classList.add('h_');
}
Tento přístup realizuje mechanismus feature flags, ale bez ochrany před injekcemi. Obzvláště nebezpečná je přímá substituce HTML:
if (result.protxt) {
proplansID.innerHTML = result.protxt;
}
Protože obsah není filtrován ani sanitizován, server může vložit libovolný JavaScript přes innerHTML, což otevírá cestu k XSS útokům i v izolovaném kontextu rozšíření.
Skrytá monetizace a sledování
Všechny tlačítka s třídou .buyBtn jsou zachycena a přesměrována na externí doménu:
document.querySelectorAll('.buyBtn').forEach(btn => {
btn.setAttribute(
'href',
`https://topup.cloudapi.stream/?user_id=${encodeURIComponent(localStorage.getItem("user_id"))}&type=game`
);
});
Takto se jakékoli kliknutí na tyto prvky předává unikátní identifikátor uživatele v URL parametru. To umožňuje spojovat akce uživatele s jeho profilem pro účely monetizace nebo dalšího profilování.
Pro stabilní sledování se používá kombinace údajů:
user_idzlocalStorage(perzistentní identifikátor)chrome.runtime.id(unikátní ID rozšíření v prohlížeči)navigator.language(jazykový kód uživatele)
Takový soubor zajišťuje vysokou přesnost identifikace i při změně IP adresy nebo vymazání cookies.
Absence slíbených funkcí
Navzdory popisu v obchodě rozšíření neobsahuje jediný řádek kódu související s YouTube:
- Žádné volání YouTube Data API
- Žádné vkládání videopřehrávače přes iframe
- Žádné zpracování událostí přehrávání
- Žádná logika pro práci s playlisty nebo kanály
Jediné interakce s YouTube je přesměrování po kliknutí na tlačítko Play:
playBtn.addEventListener("click", () => {
window.location = "https://youtube.com/";
});
To potvrzuje, že rozšíření bylo vytvořeno výhradně pro maskování pod užitečný nástroj, zatímco jeho skutečný cíl je sběr dat a monetizace provozu.
Co je důležité
- Rozšíření neposkytuje slíbené funkce YouTube.
- Rozhraní je plně řízeno externím serverem přes nechráněné API.
- Je možná injekce libovolného HTML a potenciální XSS.
- Je implementováno skryté sledování uživatele přes kombinaci identifikátorů.
- Všechny monetizační odkazy jsou přesměrovány na externí domény s předáním user_id.
— Editorial Team
Zatím žádné komentáře.