# # Analyse einer bösartigen Chrome-Erweiterung, die sich als YouTube-Sidebar ausgibt
Eine Chrome-Erweiterung namens „Youside — YouTube Sidebar“ wurde im Chrome Web Store entdeckt. Sie hat nichts mit YouTube-Funktionen zu tun. Statt der versprochenen Features – einem eingebetteten Player, Abonnement-Management und schnellem Zugriff – implementiert sie einen Thin Client für ein Backend Dritter, inklusive Fernsteuerung der Oberfläche, Datensammlung und versteckter Monetarisierung.
Architektur: Client ohne Logik
Die Erweiterung mit der ID mmecpiobcdbjkaijljohghhpfgngpjmk verkörpert die typische Architektur bösartiger Software: minimale lokale Logik und starke Abhängigkeit von einem externen Server. Beim Start generiert oder lädt sie eine persistente user_id aus localStorage und fragt die API unter https://mines.cloudapi.stream/user_info ab. Die Server-Antwort bestimmt vollständig das Verhalten der Benutzeroberfläche – von der Sichtbarkeit von Elementen bis hin zum Inhalt von HTML-Blöcken.
Wichtige Merkmale:
- Keine Aufrufe der YouTube API oder der Domain
youtube.com - Keine Implementierung der IFrame Player API
- Keine Logik für Abonnements, Videosuche oder Videostreaming
- Alle Aktionen gesteuert über Server-Antworten
Dieses Setup erlaubt es Angreifern, das Verhalten der Erweiterung dynamisch zu ändern, ohne den Code im Store aktualisieren zu müssen.
Fernsteuerung der Oberfläche
Der Server liefert ein JSON-Objekt mit Feldern wie success, is_valid, rating und protxt. Der Client wendet diese Daten direkt auf das DOM an, ohne Validierung:
if (result.is_valid) {
proplansID.classList.add('h_');
playBtn.classList.remove('h_');
} else {
playBtn.classList.add('h_');
}
Dieser Ansatz ahmt Feature Flags nach, bietet aber keinen Schutz vor Injections. Direkte HTML-Einfügungen sind besonders riskant:
if (result.protxt) {
proplansID.innerHTML = result.protxt;
}
Da der Inhalt weder gefiltert noch saniert wird, kann der Server beliebiges JavaScript über innerHTML einschleusen und so XSS-Angriffe ermöglichen, selbst im isolierten Kontext der Erweiterung.
Versteckte Monetarisierung und Tracking
Alle Buttons mit der Klasse .buyBtn werden abgefangen und auf eine externe Domain umgeleitet:
document.querySelectorAll('.buyBtn').forEach(btn => {
btn.setAttribute(
'href',
`https://topup.cloudapi.stream/?user_id=${encodeURIComponent(localStorage.getItem("user_id"))}&type=game`
);
});
Jeder Klick auf diese Elemente übergibt die eindeutige Benutzer-ID über URL-Parameter. So werden Benutzeraktionen mit ihrem Profil verknüpft – für Monetarisierung oder Profiling.
Für zuverlässiges Tracking kombiniert es:
user_idauslocalStorage(persistenter Identifier)chrome.runtime.id(eindeutige Erweiterungs-ID im Browser)navigator.language(Sprachcode des Nutzers)
Diese Kombination gewährleistet eine hohe Genauigkeit bei der Identifizierung, selbst wenn sich die IP ändert oder Cookies gelöscht werden.
Fehlende versprochene Funktionalität
Trotz der Store-Beschreibung enthält die Erweiterung keinen Code zu YouTube:
- Keine Aufrufe der YouTube Data API
- Kein eingebetteter Videoplayer via iframe
- Keine Behandlung von Abspielereignissen
- Keine Logik für Playlists oder Kanäle
Die einzige YouTube-Interaktion ist eine Weiterleitung beim Klick auf den Play-Button:
playBtn.addEventListener("click", () => {
window.location = "https://youtube.com/";
});
Das bestätigt: Die Erweiterung ist reine Fassade für ein nützliches Tool, ihr wahres Ziel ist Datensammlung und Traffic-Monetarisierung.
Wichtige Erkenntnisse
- Die Erweiterung liefert die versprochenen YouTube-Features nicht.
- Die Oberfläche wird vollständig über unsichere APIs von einem externen Server gesteuert.
- Beliebige HTML-Injectionen sind möglich, mit XSS-Risiken.
- Verstecktes Nutzer-Tracking über kombinierte Identifier.
- Alle Monetarisierungslinks leiten auf Drittanbieter-Domains um und übergeben
user_id.
— Editorial Team
Noch keine Kommentare.