Аналитики Symantec обнаружили, что многие популярные расширения для Google Chrome передают данные по протоколу HTTP и жестко кодируют секреты в своем коде, тем самым подвергая пользователей опасности.

«Ряд широко используемых расширений непреднамеренно передают конфиденциальные данные через обычный HTTP, — сообщают исследователи. — Таким образом, они раскрывают домены, идентификаторы машин, данные об операционной системе, информацию об использовании и даже данные для деинсталляции в формате простого текста».

Также отсутствие шифрования трафика означает, что расширения подвержены атакам типа man-in-the-middle, то есть позволяют злоумышленникам, находящимся в той же сети, перехватывать и изменять данные, что может привести к серьезным последствиям.

В блоге компании исследователи перечисляют следующие проблемные расширения:

  • SEMRush Rank (idbhoeaiokcojcgappfigpifhpkjgmab) и PI Rank (ccgdboldgdlngcgfdolahmiilojmfndl) — вызывают URL rank.trellian[.]com, используя обычный HTTP;
  • Browsec VPN (omghfjlpggmjjaagoclmmobgdodcjboh) — использует HTTP для вызова URL-адреса деинсталляци browsec-uninstall.s3-website.eu-central-1.amazonaws[.]com, если пользователь пытается удалить расширение;
  • MSN New Tab (lklfbkdigihjaaeamncibechhgalldgl) и MSN Homepage, Bing Search & News (midiombanaceofjhodpdibeppmnamfcj) — передают уникальный идентификатор машины пользователя и другие данные по HTTP на адрес g.ceipmsn[.]com;
  • DualSafe Password Manager & Digital Vault (lgbjhdkjmpgjgcbcdlhkokkckpjmedgc) — отправляет HTTP-запросы на stats.itopupdate[.]com вместе с информацией о версии расширения, языке браузера пользователя и «типе использования» продукта.

«Хотя прямой утечки учетных данных или паролей не происходит, тот факт, что менеджер паролей использует незашифрованные запросы для передачи своей телеметрии, подрывает доверие к его системе безопасности в целом», — отмечают эксперты, говоря о DualSafe Password Manager & Digital Vault.

Кроме того, в Symantec обнаружили целый набор расширений с API-ключами, секретами и токенами, жестко закодированными непосредственно в коде. Исследователи предупреждают, что злоумышленники могут использовать это для создания вредоносных запросов и выполнения различных мошеннических действий.

  • Avast Online Security & Privacy (gomekmidlodglbbmalcneegieacbdmki), AVG Online Security (nbmoafcmbajniiapeidgficgifbfmjfo), Speed Dial [FVD] - New Tab Page, 3D, Sync (llaficoajjainaijghjlofdfmbjpebpa) и SellerSprite - Amazon Research Tool (ID: lnbmbgocenenhhhdojdielgnmeflbnfb) — раскрывают жестко закодированные секреты API Google Analytics 4 (GA4), которые могут использоваться хакерами для атак на эндпоинты GA4 и искажения метрик;
  • Equatio - Math Made Digital (hjngolefdpdnooamgdldlkjgmdcmcjnc) — содержит ключ API Microsoft Azure, используемый для распознавания речи, что злоумышленники могут использовать для завышения расходов разработчиков или исчерпания лимитов;
  • Awesome Screen Recorder & Screenshot (nlipoenfbbikpbjkfpfillcgkoblgpmj) и Scrolling Screenshot Tool & Screen Capture (mfpiaehgjbbfednooihadalhehabhcjo) — раскрывают ключ доступа разработчика к Amazon Web Services (AWS), используемый для загрузки скриншотов в бакет S3;
  • Microsoft Editor - Spelling & Grammar Checker (gpaiobkfhnonedkhhhfjpmhdalgeoebfa) — раскрывает ключ для телеметрии StatsApiKey, который нужен для регистрации пользовательских данных и аналитики;
  • Antidote Connector (lmbopdiikkamfphhgcckcjhojnokgfeo) — в состав расширения входит сторонняя библиотека InboxSDK, содержащая жестко закодированные учетные данные, включая ключи API;
  • Watch2Gether (cimpffimgeipdhnhjohpbehjkcdpjolg) — раскрывает API-ключ Tenor для поиска GIF;
  • Trust Wallet (egjidjbpglichdcondbcbdnbeeppgdph) — раскрывает ключ API, связанный с Web3-платформой Ramp Network, которая предоставляет возможность покупать или продавать криптовалюту прямо из приложения;
  • TravelArrow - Your Virtual Travel Agent (coplmfnphahpcknbchcehdikbdieognn) — раскрывает API-ключ, связанный с геолокацией, при запросах к ip-api[.]com.

Отмечается, что Antidote Connector — это лишь одно из более чем 90 расширений, использующих InboxSDK. То есть и другие расширения подвержены той же проблеме, но их названий в Symantec не раскрывают.

«От секретов аналитики GA4 до ключей Azure, от учетных данных AWS S3 до токенов Google. Каждый из этих сниппетов демонстрирует, что всего несколько строк кода могут поставить под угрозу целый сервис. Решение: никогда не храните конфиденциальные данные на стороне клиента», — говорят эксперты.

Разработчикам расширений настоятельно рекомендуется переходить на HTTPS, надежно хранить учетные данные на внутреннем сервере и проводить регулярную ротацию секретов, чтобы минимизировать риски.

«Пользователям перечисленных расширений следует подумать об их удалении, пока разработчики не устранят небезопасные HTTP-вызовы, — заявили в Symantec. — Это не теоретические риски. Незашифрованный трафик легко перехватить, а данные могут использоваться для профилирования, фишинга или других целевых атак. Главный вывод заключается в том, что множество установок и известный бренд не всегда гарантируют использование передовых методов шифрования».

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

    • Открыть комментарии
    Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии