Giả mạo AdBlock Plus lọt vào Chrome Web Store, hàng chục nghìn người cài trước khi bị gỡ. Những bản sao kiểu này có thể tiêm mã, mở tab rác, gắn cookie gian lận… theo BleepingComputer và The Verge.
Đầu năm 2025, nhiều extension hợp pháp bị cấy mã độc (tấn công chuỗi cung ứng), âm thầm hút dữ liệu, token đăng nhập trên hàng triệu thiết bị; người dùng vẫn cài “từ store chính thức”.
Lỗ hổng/tính năng nguy hiểm liên quan filter list
Tính năng $rewrite trong Adblock/Adblock Plus/uBlock cho phép inject mã qua filter list, có thể dẫn tới đánh cắp thông tin/đổi hướng request, nguồn từ ( PortSwigger, Sophos News)
Quyền của extension quá rộng
Rất nhiều adblock/extension yêu cầu quyền “đọc và thay đổi dữ liệu trên tất cả website”. Khi bị lợi dụng, kẻ tấn công có thể chèn quảng cáo độc, đổi liên kết affiliate, đọc cookie/phiên để chiếm tài khoản.
Từ lâu, tiện ích trình duyệt là mắt xích yếu trong chuỗi an ninh. Năm 2019, cả tiện ích Chrome lẫn Firefox từng bị phát hiện đánh cắp dữ liệu từ 4 triệu thiết bị, bao gồm thiết bị trong mạng của nhiều công ty lớn như Tesla, Blue Origin, FireEye, Symantec, T-Mobile, Reddit.
Ở nhiều nơi, cách giảm rủi ro khá đơn giản vì nhiều tiện ích không mang lại ích lợi thực sự—chỉ cần gỡ bớt.