Amazon Visa
Amazon Visa
ProWork365 - Office|Karriere|Tech|Finanzen
Anzeige
Transparenz: Um diesen Blog kostenlos anbieten zu können, nutzen wir Affiliate-Links. Klickst du darauf und kaufst etwas, bekommen wir eine kleine Vergütung. Der Preis bleibt für dich gleich. Win-Win!

Beliebter YouTube-Werbeblocker mit 11 Millionen Nutzern enthält versteckte Hintertür

Gefahr im Browser:

Mit über 11 Millionen Installationen gehört „Adblock for YouTube“ zu den beliebtesten Erweiterungen im Chrome Web Store. Eigentlich soll das Tool lediglich lästige Werbeclips auf der Videoplattform blockieren. Doch Sicherheitsforscher schlagen nun Alarm: Ein verborgener Mechanismus ermöglicht es den Entwicklern theoretisch, jederzeit die vollständige Kontrolle über die Browser-Sitzungen ihrer Nutzer zu übernehmen – von E-Mails bis hin zum Online-Banking.

Die Enthüllungen rund um die Chrome-Erweiterung „Adblock for YouTube“ (ID: cmedhionkhpnakcndndgjdbohmhepckk) werfen ein grelles Licht auf die Sicherheitsrisiken von scheinbar nützlichen Browser-Add-ons. Forscher des Cybersicherheitsunternehmens Island (namentlich Oleg Zaytsev und Shachar Gritzman) haben im Juni 2026 eine tiefgreifende Architekturschwäche in dem Tool aufgedeckt, die den Browser in ein potenzielles Einfallstor für Angreifer verwandelt.

Anzeige
Beliebter YouTube-Werbeblocker enthält versteckte Hintertür
Anzeige
kostenlose Downloads
kostenlose Downloads
KI-News
Juni 28: KI-Cyberabwehr, Code-Revolution und der Einzug ins Handwerk: Die Woche der Spezialisierung
|
Juni 21: Mega-Deals und Cyber-Angriffe: SpaceX, Bezos und die Nachbeben der US-KI-Sperre
|
Juni 15: US-Exportstopp, Apples radikaler Siri-Umbau und KIs, die sich selbst programmieren
|
Juni 9: KI-Beben: Warum Apple die EU aussperrt und die USA neue Regeln diktieren
|
Apr. 21: Apple-Launch, OpenClaw-Patch & EU-KI-Steuer
|
Apr. 13: Anthropics Niederlage & Metas KI-Wende
|
März 30: Atomstrom für KI, synthetische Patienten & Claude 4
|
März 17: Elon Musks offene Rebellion, KI-Softwareentwickler & Europas harter Schnitt: Wochenrückblick KW 11-2026
|
März 10: Anthropic klagt gegen das Pentagon, Googles Roboter-Offensive & KI-Zahlungen: Wochenrückblick KW 10/2026
|
März 3: Der Pentagon-Eklat, OpenAIs Rekord-Deal & Metas AMD-Wette: Wochenrückblick KW 9/2026
|
Feb. 24: Grok 4.20, Metas „Grief Tech“ & Werbe-Aus bei Perplexity: Wochenrückblick KW 8/2026
|
Feb. 17: Der Aufstand gegen den Autopiloten, Groks Körper & Netflix‘ unendliche Story: Wochenrückblick KW 7-2026

Ferngesteuerte Code-Injektion

Das Kernproblem liegt in der Art und Weise, wie die Erweiterung ihre Filterregeln aktualisiert, kombiniert mit weitreichenden Zugriffsrechten. Obwohl es sich laut Beschreibung um einen reinen YouTube-Werbeblocker handelt, fordert die Software bei der Installation Leseberechtigung für alle besuchten URLs ().

Die Forscher fanden heraus, dass das Add-on täglich eine Konfigurationsdatei von den Servern des Entwicklers herunterlädt. In der Codebasis versteckt sich zudem ein Scriptlet namens trusted-create-element. Durch die serverseitig gesteuerte Konfiguration kann diese Funktion angewiesen werden, beliebigen JavaScript-Code in eine besuchte Webseite einzuschleusen.

Die Konsequenzen einer solchen Architektur sind gravierend:

Umgehung der Google-Sicherheitsprüfung

Da der injizierte Code direkt vom Server des Entwicklers geladen wird, ist kein offizielles Update im Chrome Web Store nötig. Ein böswilliger Akteur könnte die Funktion aktivieren, ohne dass Google dies vorab prüfen kann.

Weitreichender Datendiebstahl

Durch das Einschleusen von Code könnten Passwörter, Session-Cookies, E-Mails oder vertrauliche Unternehmensdaten (beispielsweise in Salesforce-Sitzungen) ausgelesen werden.

Fehlerhafte URL-Prüfung

Zwar enthält der Code eine Abfrage, die sicherstellen soll, dass das Skript nur ausgeführt wird, wenn der Nutzer sich auf YouTube befindet. Allerdings wird dabei lediglich geprüft, ob die Zeichenfolge youtube.com irgendwo in der URL vorkommt. Ein Link wie banking.de/login?ref=youtube.com würde diese Sicherheitsmaßnahme bereits aushebeln.

Die Sicherheitsforscher betonen, dass es sich um eine schlafende Hintertür (Dormant Script Injection) handelt. Es gibt derzeit keine Beweise dafür, dass die Funktion bereits aktiv für Schadcode-Kampagnen oder Datendiebstahl missbraucht wurde. Die bloße Existenz dieser Möglichkeit reicht jedoch aus, um das Add-on als hohes Sicherheitsrisiko einzustufen.

Fragwürdige Historie und dubiose Verbindungen

Das Misstrauen der Sicherheitsexperten wird durch die Vergangenheit der Erweiterung verstärkt. Das Tool startete 2014 als kleines Projekt, wechselte aber um das Jahr 2018 den Besitzer und den grundlegenden Code. In den darauffolgenden Jahren wuchs die Nutzerbasis rapide an.

Einige Details aus der Historie der Erweiterung (entwickelt von der AdBlock Ltd. mit Sitz auf Malta) mahnen zur Vorsicht:

  • Malware bei Schwester-Projekten: Andere Erweiterungen, die sich Server-Infrastruktur mit „Adblock for YouTube“ teilten (darunter Adblock for Chrome, Adblock for You und AdBlock Suite), wurden von Google in der Vergangenheit wegen bösartigen Verhaltens aus dem Chrome Web Store entfernt.

  • Entfernte Adware: Frühere Versionen von „Adblock for YouTube“ enthielten das sogenannte Unistream SDK, ein Framework, das von Antiviren-Anbietern als Adware eingestuft wurde. Dieses SDK wurde erst im Juni 2024 aus dem Tool entfernt.

Reaktion der Entwickler und geplantes Update

Der aktuelle Anbieter hat sich inzwischen zu den Vorwürfen geäußert. Gegenüber Medienvertretern betonte ein Sprecher der AdBlock Ltd., dass die beanstandete Funktion nie missbraucht worden sei und dies auch für die Zukunft ausgeschlossen werde.

Zur Erklärung der Architektur verwies das Unternehmen darauf, dass das Scriptlet trusted-create-element Teil der Open-Source-Bibliothek von AdGuard sei, die von zahlreichen Werbeblockern verwendet wird. Man räumte jedoch die strukturellen Risiken ein und kündigte ein sofortiges Update an. Dieses soll zwei wesentliche Änderungen beinhalten:

  • Die URL-Prüfung wird so verschärft, dass zwingend youtube.com als Hostname validiert wird.
  • Die Möglichkeit, ausführbaren Code über die Server-Konfiguration einzuschleusen, wird komplett entfernt.

Das Update wurde bereits bei Google zur Überprüfung eingereicht.

Was Nutzer jetzt tun sollten

Auch wenn aktuell kein akuter Missbrauch nachgewiesen wurde, stellt „Adblock for YouTube“ in seiner aktuellen Form ein nicht vertretbares Risiko dar – insbesondere für Nutzer, die den Browser auch für geschäftliche Zwecke, Online-Banking oder den Zugriff auf sensible Konten nutzen.

Privatanwender sollten die Erweiterung vorsichtshalber deinstallieren, bis das angekündigte Sicherheits-Update von Google freigegeben und von unabhängigen Forschern validiert wurde. Für Unternehmensnetzwerke raten Sicherheitsexperten dringend dazu, die Erweiterung (ID: cmedhionkhpnakcndndgjdbohmhepckk) per MDM- oder Gruppenrichtlinie global zu sperren. Als sichere und transparente Alternative bietet sich etwa das quelloffene uBlock Origin Lite an, das nach den neuen Manifest-V3-Standards von Google arbeitet.

Quellenangaben:

  • Island Security Research: Blogbeitrag zur Schwachstelle („BadBlocker: 11 Million Users, One Server Call Away from Compromise“), veröffentlicht im Juni 2026.
  • The Hacker News: Berichterstattung zur Architektur und den Reaktionen der Entwickler (25. Juni 2026).
  • Golem.de: „Chrome-Erweiterung: Mögliche Backdoor in millionenfach installiertem Adblocker“ (26. Juni 2026).
  • Aardwolf Security: Analyse zu den unternehmerischen Sicherheitsrisiken durch Chrome-Erweiterungen.
  • Bildmaterial: https://www.dall-efree.com/

Aktuelle Warnungen

Prüfe Daten...

Auch interessant:

Über den Autor:

Michael Suhr | Bj. 1974
Michael Suhr | Bj. 1974Dipl. Betriebswirt - Webdesigner
Nach über 20 Jahren in der Logistikbranche habe ich den Schritt gewagt und mein langjähriges Hobby zum Beruf gemacht. Als Dipl. Betriebswirt, Webdesigner und Blogger verbinde ich heute handfestes wirtschaftliches Know-how mit kreativer digitaler Umsetzung. Auf meinem Blog dreht sich alles um die Themen, die mich täglich antreiben: Office-Optimierung, Karriere-Tipps, Tech-Trends und smarte Finanzen. Mein Ziel? Dir praktisches Wissen und digitale Lösungen an die Hand zu geben, die dich im Job und Alltag wirklich weiterbringen.
Transparenz: Um diesen Blog kostenlos anbieten zu können, nutzen wir Affiliate-Links. Klickst du darauf und kaufst etwas, bekommen wir eine kleine Vergütung. Der Preis bleibt für dich gleich. Win-Win!
Blogverzeichnis Bloggerei.de - Computerblogs

Artikelsuche nach Kategorie:

Anzeige
kostenlose Downloads
kostenlose Downloads
Breaking News
Beliebter YouTube-Werbeblocker mit 11 Millionen Nutzern enthält versteckte Hintertür
|
KI-Cyberabwehr, Code-Revolution und der Einzug ins Handwerk: Die Woche der Spezialisierung
|
Die besten KI-Detektoren 2026 im schonungslosen Check!
|
Arbeitsrecht 2026: Diese Änderungen müssen Arbeitgeber und Arbeitnehmer jetzt kennen
|
Was wäre wenn… Ich einfach meinen Job kündige?

Beliebte Beiträge

14.März 2026

Word-Formatierungen endlich im Griff – Tutorial

März 14th, 2026|Kategorien: News & Tutorials, Homeoffice, Microsoft Office, Software, Word|Schlagwörter: , , |

Verzweifeln Sie nicht an zerschossenen Word-Dokumenten! Dieser Leitfaden zeigt Ihnen, wie Sie hartnäckige Formatierungen löschen, Formatvorlagen richtig nutzen und Steuerzeichen lesen. So sparen Sie Zeit und Nerven bei der Textverarbeitung.

Weiterlesen
13.März 2026

Passwort für Word- und Excel-Dateien vergessen: So retten Sie Ihre Daten

März 13th, 2026|Kategorien: News & Tutorials, Datenschutz, Excel, Homeoffice, Microsoft Office, Office 365, Word|Schlagwörter: , , , |

Ein vergessenes Passwort bei Word oder Excel ist ärgerlich, bedeutet aber nicht immer Datenverlust. Während sich Schreibschutz durch einen XML-Trick umgehen lässt, erfordern verschlüsselte Dateien spezielle Tools. Hier finden Sie alle Lösungen im Überblick.

Weiterlesen
7.Dezember 2025

Excel KI-Update: So nutzen Sie Python & Copilot

Dezember 7th, 2025|Kategorien: News & Tutorials, Excel, Homeoffice, Microsoft Office, Office 365|Schlagwörter: , |

Vergessen Sie komplexe Formeln! Excel wird durch Python und den KI-Copilot zum intelligenten Analysten. Diese Anleitung zeigt konkrete Beispiele, wie Sie Heatmaps erstellen, Szenarien simulieren und Ihre Arbeit massiv beschleunigen. Machen Sie Ihre Tabellen fit für die Zukunft.

Weiterlesen
7.Dezember 2025

Der XVERWEIS: Der neue Standard für die Datensuche in Excel

Dezember 7th, 2025|Kategorien: News & Tutorials, Excel, Homeoffice, Microsoft Office, Office 365|Schlagwörter: , |

Verabschieden Sie sich vom Spaltenzählen! Der XVERWEIS macht die Datensuche in Excel endlich intuitiv und sicher. Erfahren Sie in diesem Tutorial, wie die Funktion aufgebaut ist, wie Sie sie anwenden und warum sie dem SVERWEIS und WVERWEIS haushoch überlegen ist.

Weiterlesen
7.Dezember 2025

Nie wieder Adressen abtippen: So erstellen Sie Serienbriefe in Word

Dezember 7th, 2025|Kategorien: News & Tutorials, Excel, Homeoffice, Microsoft Office, Office 365, Word|Schlagwörter: , , |

Müssen Sie hunderte Briefe versenden? Schluss mit manuellem Abtippen! Erfahren Sie, wie Sie in wenigen Minuten einen perfekten Serienbrief in Word erstellen. Von der sauberen Excel-Datenbank bis zum fertigen Druck – unser Guide führt Sie sicher durch den Prozess.

Weiterlesen
24.November 2025

Warum dein Excel-Kurs Zeitverschwendung ist – was du wirklich lernen solltest!

November 24th, 2025|Kategorien: News & Tutorials, Excel, Künstliche Intelligenz, Microsoft Office, Software|Schlagwörter: , |

Hand aufs Herz: Wann hast du zuletzt eine komplexe Excel-Formel ohne Googeln getippt? Eben. KI schreibt heute den Code für dich. Erfahre, warum klassische Excel-Trainings veraltet sind und welche 3 modernen Skills deinen Marktwert im Büro jetzt massiv steigern.

Weiterlesen
300x600_weltweit-handeln_smartbrokerplus
Anzeige
Anzeige
kostenlose Downloads
kostenlose Downloads
2026-06-28T15:32:38+02:00Juni 28th, 2026|News & Tutorials, Datenschutz, Google, Streaming|

Ähnliche Artikel

Die besten KI-Detektoren 2026 im schonungslosen Check!
Die besten KI-Detektoren 2026 im schonungslosen Check!
Arbeitsrecht 2026 Diese Änderungen müssen Arbeitgeber und Arbeitnehmer jetzt kennen
Arbeitsrecht 2026: Diese Änderungen müssen Arbeitgeber und Arbeitnehmer jetzt kennen
Sony löscht ab September 2026 über 500 gekaufte Filme von PlayStation-Konten
Digitale Enteignung: Warum Sony dir über 500 gekaufte Filme wegnimmt
Wie KI vom Chat-Spielzeug zum mächtigen Werkzeug wurde
Wie KI vom Chat-Spielzeug zum mächtigen Werkzeug wurde

Hinterlassen Sie einen Kommentar

ProWork365

E: kontakt@prowork365.de

P: (+49) 04181-360254

Mon. – Fr. – 09h to 16:30h

© Copyright 2015 – 2026 | ProWork 365 – OFFICE | KARRIERE | TECH | FINANZEN

Toggle Sliding Bar Area

Navigation

IHR FINANZ-COCKPIT

Finanz-Cockpit
Online-Konto
Anzeige

Neueste Beiträge:

336x280_weltweit-handeln_smartbrokerplus
Anzeige

Suche nach Kategorie:

Anzeige
Excel Haushaltsbuch
Haushaltsbuch 2025_Black Mint1
Haushaltsbuch 2025_Black Mint3
Haushaltsbuch 2025_Black Mint2

39,95 €

19,95 €

Um unsere Website für Sie zu optimieren und kontinuierlich verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Website stimmen Sie der Verwendung von Cookies zu. Ok alle akzeptieren
Nach oben