Peneliti cybersecurity telah menandai beberapa ekstensi Google Chrome populer yang telah ditemukan untuk mengirimkan data dalam HTTP dan rahasia kode hard-kode dalam kode mereka, mengekspos pengguna ke risiko privasi dan keamanan.
“Beberapa ekstensi yang banyak digunakan […] Secara tidak sengaja mengirimkan data sensitif ke atas HTTP sederhana, “Yuanjing Guo, seorang peneliti keamanan dalam tim teknologi dan respons keamanan Symantec,” dengan melakukan itu, mereka mengekspos domain penjelajahan, ID mesin, detail sistem operasi, analisis penggunaan, dan bahkan menghapus informasi, dalam eksteks plainteks. “
Fakta bahwa lalu lintas jaringan tidak terenkripsi juga berarti bahwa mereka rentan terhadap serangan musuh di tengah-tengah (AITM), yang memungkinkan aktor jahat di jaringan yang sama seperti Wi-Fi publik untuk mencegat dan, lebih buruk lagi, memodifikasi data ini, yang dapat menyebabkan konsekuensi yang jauh lebih serius.
Daftar ekstensi yang diidentifikasi di bawah ini –
- Peringkat SEMRUSH (ID Ekstensi: IDBHOEAIOKCOJCGAPPFIGPIFHPKJGMAB) dan peringkat PI (ID: CCGDBOLDGDLNGCGFDOLAHMIILOJMFNDL), yang menyebut URL “Rank.trellian[.]com “lebih dari http polos
- Browsec VPN (ID: OMGHFJLPGGMJJAAGOCLMMOBGDODCJHOH), yang menggunakan HTTP untuk memanggil URL uninstall di “Browsec-Uninstall.S3-WEBSITE.EU-CENTRAL-1.MAZONAWS[.]com “Saat pengguna mencoba menghapus instalan ekstensi
- Msn tab baru (id: lklfbkdigihjaaeamncibechgalldgl) dan msn beranda, pencarian & berita (id: midiombanaceofjhodpdibeppmnamfcj), yang mengirimkan pengidentifikasi mesin unik dan detail lainnya tentang http ke “g.ceipmsn[.]com “
- DualSafe Password Manager & Digital Vault (ID: lgbjhdkjmpgjgcbcdlhkokkckpjmedgc), yang membuat permintaan URL berbasis http ke “stats.itopupdate[.]com “bersama dengan informasi tentang versi ekstensi, bahasa browser pengguna, dan” tipe “penggunaan
“Meskipun kredensial atau kata sandi tampaknya tidak bocor, fakta bahwa manajer kata sandi menggunakan permintaan yang tidak dienkripsi untuk telemetri mengikis kepercayaan pada postur keamanan keseluruhannya,” kata Guo.
Symantec mengatakan juga mengidentifikasi set ekstensi lain dengan kunci API, rahasia, dan token yang langsung tertanam dalam kode JavaScript, yang dapat dimaksudkan oleh seorang penyerang untuk membuat permintaan jahat dan melakukan berbagai tindakan jahat –
-
Ekstensi Keamanan & Privasi Online (ID: GomekmidlodglbbmalcNeegiEACBDMKI), AVG Online Security (ID: NBMOAFCMBAJNIIAPAIDGFICGIFBFMJFO), SPEED DIAL [FVD] – New Tab Page, 3D, Sync (ID: llaficoajjainaijghjlofdfmbjpebpa), and SellerSprite – Amazon Research Tool (ID: lnbmbgocenenhhhdojdielgnmeflbnfb), which expose a hard-coded Google Analytics 4 (GA4) API secret that an attacker could use to bombard the GA4 endpoint and corrupt metrik
-
Equatio – Matematika Dibuat Digital (ID: hjngolefdpdnooamgdldlkjgmdcmcjnc), yang menyematkan kunci API Azure Microsoft yang digunakan untuk pengakuan suara yang dapat digunakan penyerang untuk mengembang biaya pengembang atau menghabiskan batas penggunaannya mereka
-
Awesome Screen Recorder & Screenshot (ID: nlipoenfbbikpbjkfpfillcgkoblgpmj) and Scrolling Screenshot Tool & Screen Capture (ID: mfpiaehgjbbfednooihadalhehabhcjo), which expose the developer's Amazon Web Services (AWS) access key used to upload screenshots to the developer's S3 bucket
-
Editor Microsoft – Pemeriksa Ejaan & Tata Bahasa (ID: Gpaiobkfhnonedkhhfjpmhdalgeoebfa), yang mengekspos kunci telemetri bernama “Statsapikey” untuk mencatat data pengguna untuk analitik
-
Antidote Connector (ID: LMBOPDIIKKAMFPHHGCCKCJHOJNOKGFEO), yang menggabungkan pustaka pihak ketiga yang disebut InboxsDK yang berisi kredensial kode keras, termasuk kunci API.
-
Watch2gether (id: cimpffimgeipdhnhjohpbehjkcdpjolg), yang memperlihatkan kunci API pencarian gif tenor
-
Trust Wallet (ID: EGJIDJBPGLICHDCONDBCBDNBEEPPGDPH), yang memperlihatkan kunci API yang terkait dengan Ramp Network, platform Web3 yang menawarkan pengembang dompet cara untuk membiarkan pengguna membeli atau menjual crypto langsung dari aplikasi
-
TravelArrow-Agen Perjalanan Virtual Anda (ID: COPLMFNPHAHPCKNBCHCEHDIKBDIEOGNN), yang memperlihatkan kunci API geolokasi saat membuat pertanyaan untuk “IP-API[.]com “
Penyerang yang akhirnya menemukan kunci -kunci ini dapat mempersenjatai mereka untuk menaikkan biaya API, meng -host konten ilegal, mengirim data telemetri palsu, dan meniru perintah transaksi cryptocurrency, beberapa di antaranya dapat melihat larangan pengembang dilarang.
Menambah kekhawatiran, konektor penangkal hanyalah satu dari lebih dari 90 ekstensi yang menggunakan inboxsdk, yang berarti ekstensi lain rentan terhadap masalah yang sama. Nama -nama ekstensi lain tidak diungkapkan oleh Symantec.
“Dari Rahasia Analisis GA4 hingga Kunci Pidato Azure, dan dari kredensial AWS S3 hingga token khusus Google, masing-masing cuplikan ini menunjukkan bagaimana beberapa baris kode dapat membahayakan seluruh layanan,” kata Guo. “Solusinya: Jangan pernah menyimpan kredensial sensitif di sisi klien.”
Pengembang disarankan untuk beralih ke HTTPS setiap kali mereka mengirim atau menerima data, menyimpan kredensial dengan aman di server backend menggunakan layanan manajemen kredensial, dan secara teratur memutar rahasia untuk lebih meminimalkan risiko.
Temuan ini menunjukkan bagaimana bahkan ekstensi populer dengan ratusan ribu instalasi dapat menderita salah konfigurasi sepele dan kesalahan keamanan seperti kredensial kode keras, membuat data pengguna berisiko.
“Pengguna ekstensi ini harus mempertimbangkan untuk menghapusnya sampai pengembang mengatasi rasa tidak aman [HTTP] Panggilan, “kata perusahaan.” Risiko bukan hanya teoretis; Lalu lintas yang tidak terenkripsi mudah ditangkap, dan data dapat digunakan untuk profil, phishing, atau serangan bertarget lainnya. “
“Pelajaran menyeluruh adalah bahwa basis pemasangan besar atau merek terkenal tidak selalu memastikan praktik terbaik seputar enkripsi. Ekstensi harus diteliti untuk protokol yang mereka gunakan dan data yang mereka bagikan, untuk memastikan informasi pengguna tetap benar-benar aman.”
