Когда речь заходит о программном обеспечении, которое вы пускаете в святая святых — свой веб-браузер, единственным объективным источником правды является не маркетинговый текст, а manifest.json. Это паспорт расширения, где разработчик обязан явно задекларировать перед Google Chrome, к каким системным функциям и личным данным он запрашивает доступ.
Мы скачали официальный CRX-пакет популярного «ускорителя» uBoost (версии 8.11.9), распаковали его и провели построчный аудит его архитектуры. Результаты заставляют серьезно задуматься о безопасности сотен тысяч пользователей.
---Таблица сравнения: Что запрашивает Shustree и что скрывает uBoost
Давайте сравним реальные ключевые технические потребности расширения, обеспечивающего качественную маршрутизацию трафика (Shustree), и избыточные аппетиты uBoost при идентичном базовом функционале туннелирования:
| Параметр / Разрешение | В Shustree (v1.7.3) | В uBoost (v8.11.9) | Зачем это нужно на самом деле? |
|---|---|---|---|
management |
Отсутствует | Присутствует | Позволяет контролировать сторонние расширения: шпионить за ними, отключать и саботировать работу конкурентов (вроде Shustree). |
cookies |
Отсутствует | Присутствует | Дает полный доступ к сессиям, токенам авторизации и личным кабинетам на любых сайтах. |
content_scripts |
Не используются | 6 каскадных правил неконтролируемых js-инъекций | Принудительное внедрение JS-скриптов в тело веб-страниц до их рендеринга (режим document_start). Перехватывает управление интерфейсом сайтов Google и YouTube. |
[Посмотреть] Полный manifest.json расширения uBoost (v8.11.9)
{
"update_url": "https://clients2.google.com/service/update2/crx",
"manifest_version": 3,
"name": "__MSG_extName__",
"version": "8.11.9",
"description": "__MSG_extDescription__",
"permissions": [
"proxy",
"storage",
"webRequest",
"webRequestAuthProvider",
"activeTab",
"tabs",
"alarms",
"management",
"cookies",
"unlimitedStorage"
],
"host_permissions": [
"https://*.youtube.com/*",
"https://*.youtu.be/*",
"https://*.googlevideo.com/*",
"https://*.play.google.com/*",
"https://*.ytimg.com/*",
"https://*.witch.tv/*",
"https://staticfiles.cukubst.top/*",
"https://uboost.space/*",
"https://ubst.space/*",
"*://*.vpnn.loan/*",
"*://*.yandexcloud.net/*",
""
],
"action": {
"default_popup": "action/default_popup.html",
"default_icon": {
"16": "icons/icon16.png",
"48": "icons/icon48.png",
"128": "icons/icon128.png"
}
},
"content_scripts": [
{
"matches": [
"*://*.ubstv.click/*",
"*://*.naruzhu.work/*",
"*://*.naruzhu.am/*",
"*://*.uboost.am/*"
],
"js": [
"content_scripts/content-0.js"
],
"run_at": "document_start",
"css": [
"content_scripts/content-0.css",
"content_scripts/content-1.css"
]
},
{
"matches": [
"*://*.youtube.com/*",
"*://*.youtu.be/*"
],
"js": [
"content_scripts/content-1.js"
],
"run_at": "document_idle",
"css": [
"content_scripts/content-0.css",
"content_scripts/content-1.css"
]
},
{
"matches": [
"*://*.youtube.com/*",
"*://*.google.com/*",
"*://*.youtu.be/*"
],
"js": [
"content_scripts/content-2.js"
],
"css": [
"content_scripts/content-0.css",
"content_scripts/content-1.css"
],
"run_at": "document_start"
},
{
"matches": [
"*://*.youtube.com/*",
"*://*.youtu.be/*",
"*://*.googlevideo.com/*",
"*://*.play.google.com/*",
"*://*.ytimg.com/*",
"*://*.witch.tv/*"
],
"js": [
"content_scripts/content-3.js"
],
"run_at": "document_start",
"css": [
"content_scripts/content-0.css",
"content_scripts/content-1.css"
]
},
{
"matches": [
"https://storage.googleapis.com/uboost/welcome/*",
"https://storage.yandexcloud.net/vpnn-web-configs/uboost/welcome/*",
"https://storage.googleapis.com/uboost/welcome-new/*",
"https://storage.yandexcloud.net/vpnn-web-configs/uboost/welcome-new/*",
"https://storage.googleapis.com/uboost/welcome-back/*",
"https://storage.yandexcloud.net/vpnn-web-configs/uboost/welcome-back/*"
],
"js": [
"content_scripts/content-4.js"
],
"run_at": "document_start",
"css": [
"content_scripts/content-0.css",
"content_scripts/content-1.css"
]
},
{
"matches": [
"*://*.storage.googleapis.com/*",
"*://*.storage.yandexcloud.net/*"
],
"js": [
"content_scripts/content-5.js"
],
"css": [
"content_scripts/content-0.css",
"content_scripts/content-1.css"
],
"run_at": "document_idle"
}
],
"web_accessible_resources": [
{
"resources": [
"fonts/Press_Start_2P/*.ttf"
],
"matches": [
""
]
},
{
"resources": [
"fonts/CyGrotesk/*.otf"
],
"matches": [
""
]
},
{
"resources": [
"assets/icon128.png",
"assets/cross.svg",
"assets/logo-peremen.png"
],
"matches": [
"*://*.ubstv.click/*",
"*://*.naruzhu.work/*",
"*://*.naruzhu.am/*",
"*://*.uboost.am/*"
]
},
{
"resources": [
"assets/icon128.png",
"assets/cross.svg",
"assets/logo-peremen.png",
"assets/icon.png"
],
"matches": [
"*://*.youtube.com/*",
"*://*.youtu.be/*"
]
},
{
"resources": [
"assets/icon128.png",
"assets/cross.svg",
"assets/logo-peremen.png"
],
"matches": [
"https://storage.googleapis.com/*",
"https://storage.yandexcloud.net/*",
"https://storage.googleapis.com/*",
"https://storage.yandexcloud.net/*",
"https://storage.googleapis.com/*",
"https://storage.yandexcloud.net/*"
]
},
{
"resources": [
"assets/icon128.png",
"assets/cross.svg",
"assets/logo-peremen.png",
"assets/icon.png"
],
"matches": [
"*://*.storage.googleapis.com/*",
"*://*.storage.yandexcloud.net/*"
]
}
],
"icons": {
"16": "icons/icon16.png",
"48": "icons/icon48.png",
"128": "icons/icon128.png"
},
"default_locale": "ru",
"background": {
"service_worker": "background/service_worker.js"
}
} [Посмотреть] Чистый и безопасный manifest.json расширения Shustree
{
"manifest_version": 3,
"name": "__MSG_appName__",
"version": "1.7.4",
"default_locale": "en",
"permissions": [
"proxy",
"tabs",
"alarms",
"storage",
"webRequest",
"webRequestAuthProvider"
],
"host_permissions": [
"*://shustree.ru/*",
""
],
"description": "__MSG_appDesc__",
"icons": {
"16": "img/shustree16.png",
"32": "img/shustree32.png",
"48": "img/shustree48.png",
"128": "img/shustree128.png"
},
"background": {
"service_worker": "shustreeBackground.js"
},
"action":{
"default_popup": "shustree.html",
"default_title": "__MSG_defaultTitle__"
},
"content_security_policy": {
"extension_pages": "script-src 'self'; object-src 'self';"
}
} Ядерная бомба в черном ящике: Скрытый Content Script и Remote Code
Обратите внимание на блок "content_scripts" в манифесте uBoost. Расширение заявляет 6 каскадных инъекций кода, выполняющихся в режиме "document_start". Это значит, что их зашифрованный (обфусцированный) скрипт внедряется в тело страницы до того, как браузер успеет обработать и отрендерить легитимный интерфейс сайта.
Что происходит на практике? Пользователи замечают, что в первые секунды буферизации видео на YouTube вместо штатного плеера Google загружается их собственный интерфейс с логотипом uBoost. С технической точки зрения — это классический Browser Hijacking (перехват контроля над страницей). Локальный плеер подменяется «черным ящиком».
Браузерная среда Chromium никак не может проконтролировать, что именно выполняется внутри этих обфусцированных тысяч строк. Декларация внешних серверов в манифесте (yandexcloud.net, googleapis.com, cukubst.top) прямо указывает на использование Remote Code Execution (RCE). Расширение на лету вытягивает из сторонних облачных хранилищ конфигурации и исполняемые JS-скрипты. Сегодня этот скрипт рисует логотип поверх видео, а завтра, по команде с удаленного сервера, он может превратиться в сниффер, ворующий сессионные куки-файлы ваших банковских аккаунтов или криптокошельков.
Механика недобросовестной конкуренции: Зачем им API Management?
Зачем скромному «ускорителю видео» контролировать API "management"? В легитимной разработке прокси-утилит для этого нет ни одной технической причины. Но ответ становится очевидным, если посмотреть на практику использования: это инструмент монополизации сетевого стека.
Обладая этим разрешением, фоновый процесс uBoost (Service Worker) может в фоновом режиме отслеживать, когда пользователь включает Shustree, и программно вызывать сброс настроек библиотеки chrome.proxy. Именно из-за этого агрессивного перехвата у многих пользователей «ломаются» чистые и безопасные расширения.
Важное концептуальное различие: В то время как uBoost зациклен на монополизации трафика YouTube внутри своей закрытой, обфусцированной экосистемы, Shustree спроектирован как универсальный, прозрачный инструмент для свободной работы. Через инфраструктуру Shustree вам нативно доступны продвинутые нейросетевые платформы — Gemini, ChatGPT, Claude, работа с которыми требует кристально чистых и стабильных сетевых маршрутов, без промежуточных JS-инъекций и риска утечки токенов.---
Тысячи строк обфусцированного кода
При аудите исходного кода uBoost под манифестом обнаруживается колоссальный массив JavaScript-кода, пропущенного через агрессивные обфускаторы. Переменные заменены на нечитаемые комбинации символов, логические ветвления искусственно запутаны.
Честному сервису, который просто перенаправляет трафик по правилам прозрачного белого списка, нечего скрывать от разработчиков и аудиторов. Архитектура Shustree открыта и понятна, а минималистичный манифест не содержит скрытых лазеек.
---Выводы: Безопасность или иллюзия «разгона»?
Использование продуктов с избыточными правами уровня management, cookies и неконтролируемыми js-инъекциями через разрешение content_scripts — это прямая угроза конфиденциальности. Выбирая инструмент для работы в сети, всегда задавайте вопрос: зачем утилите права на чтение ваших паролей и управление другими программами?
Если вы хотите вернуть контроль над своим браузером, очистить систему от скрытого мониторинга и обеспечить бесперебойный доступ как к медиа-контенту, так и к ведущим мировым AI-платформам — удалите обфусцированные продукты и доверьте маршрутизацию своего трафика чистому, инженерному подходу Shustree.