HackerNews 编译,转载请注明出处:
网络安全研究人员发现多款热门谷歌Chrome扩展存在严重安全隐患:通过HTTP明文传输数据并在代码中硬编码密钥,导致用户隐私与安全面临风险。赛门铁克安全技术响应团队研究员指出:“数款广泛使用的扩展通过未加密的HTTP协议传输敏感数据,以明文形式暴露浏览域名、设备ID、操作系统信息、使用分析数据乃至卸载记录。”
这种未加密的网络流量使其极易遭受中间人攻击(AitM)。恶意攻击者可在公共Wi-Fi等开放网络中拦截甚至篡改数据,引发更严重后果。以下为存在风险的扩展清单:
HTTP传输漏洞扩展
- SEMRush Rank(ID: idbhoeaiokcojcgappfigpifhpkjgmab)与PI Rank(ID: ccgdboldgdlngcgfdolahmiilojmfndl):通过HTTP调用“rank.trellian[.]com”Browsec VPN(ID: omghfjlpggmjjaagoclmmobgdodcjboh):卸载时通过HTTP访问卸载链接MSN新标签页(ID: lklfbkdigihjaaeamncibechhgalldgl)与MSN主页、必应搜索与新闻(ID: midiombanaceofjhodpdibeppmnamfcj):通过HTTP向“g.ceipmsn[.]com”发送设备唯一标识符DualSafe密码管理器与数字保险库(ID: lgbjhdkjmpgjgcbcdlhkokkckpjmedgc):向“stats.itopupdate[.]com”发送含扩展版本、浏览器语言等信息的HTTP请求
研究人员特别指出:“密码管理器使用未加密请求传输遥测数据,严重削弱用户对其安全性的信任。”
硬编码密钥风险扩展
- Online Security & Privacy(ID: gomekmidlodglbbmalcneegieacbdmki)、AVG Online Security(ID: nbmoafcmbajniiapeidgficgifbfmjfo)等:暴露Google Analytics 4密钥,攻击者可伪造数据推高分析成本Equatio数学工具(ID: hjngolefdpdnooamgdldlkjgmdcmcjnc):嵌入Azure语音识别API密钥,可能导致开发者服务费用激增Awesome截屏工具(ID: nlipoenfbbikpbjkfpfillcgkoblgpmj)等:泄露AWS S3访问密钥,攻击者可非法上传文件Microsoft Editor编辑器(ID: gpaiobkfhnonedkhhfjpmhdalgeoebfa):暴露遥测密钥“StatsApiKey”Antidote Connector(ID: lmbopdiikkamfphhgcckcjhojnokgfeo):第三方库InboxSDK含硬编码API密钥(影响超90款扩展)Trust Wallet钱包(ID: egjidjbpglichdcondbcbdnbeeppgdph):泄露法币通道API密钥,可伪造加密货币交易
攻击者利用这些密钥可能造成API服务费用暴涨、托管非法内容、伪造遥测数据等后果,甚至导致开发者账户被封禁。
研究人员强调:“从GA4密钥到Azure语音密钥,这些案例证明几行代码足以危及整个服务。核心解决方案是永远不要在客户端存储敏感凭证。”开发者应采取三项关键措施:
- 全面启用HTTPS数据传输通过凭证管理服务在后端服务器安全存储密钥定期轮换密钥以降低风险
赛门铁克警告用户:“此类风险绝非理论假设——未加密流量极易被截获,数据可能用于用户画像分析、钓鱼攻击等定向攻击。建议立即卸载存在不安全调用的扩展程序,直至开发者完成修复。”该事件揭示关键教训:安装量或品牌知名度无法等同于安全实践水平,用户需严格审查扩展程序的协议类型与数据共享行为。
消息来源: thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
