- 19,427
- 40
- 8 Ноя 2022
API-ключи наружу, данные — в воздух: кто проверял этот код?
Аналитики из Symantec выявили серьёзные уязвимости в ряде популярных расширений для Google Chrome, ставящих под угрозу конфиденциальность и безопасность пользователей. Проблемы связаны с передачей чувствительных данных по незащищённому протоколу HTTP и наличием жёстко заданных секретов в коде расширений
Для просмотра ссылки Войдиили Зарегистрируйся исследователя Юаньцзин Го, Юаньцзин Го из команды Symantec, несколько широко используемых расширений непреднамеренно передают чувствительные данные через незащищённое HTTP-соединение. В числе таких данных — домены посещаемых сайтов, идентификаторы устройств, сведения об операционной системе, аналитика использования и даже информация об удалении расширения. Всё это передаётся в открытом виде, без шифрования. Поскольку трафик не защищён, он уязвим для атак типа adversary-in-the-middle (AitM). Злоумышленники, находящиеся в той же сети — например, в публичном Wi-Fi — могут не только перехватывать передаваемую информацию, но и модифицировать её, что потенциально ведёт к более серьёзным последствиям..
В список небезопасных расширений вошли:
Symantec также Для просмотра ссылки Войдиили Зарегистрируйся другую группу расширений, в коде которых напрямую прописаны API-ключи, токены и секреты. Эти данные могут быть использованы злоумышленниками для создания вредоносных запросов и проведения атак.
В их числе:
Эксперты подчёркивают: от GA4 до Azure, от AWS до Ramp — несколько строк незащищённого кода могут привести к компрометации целого сервиса. Решение — не хранить чувствительные данные на клиентской стороне и использовать только защищённые каналы связи.
Пользователям рекомендуют удалить небезопасные расширения до тех пор, пока разработчики не устранят вызовы через незащищённый протокол. Открытый трафик — это не абстрактная угроза: его легко перехватить, а затем использовать для фишинга, слежки и таргетированных атак.
Даже высокая популярность и узнаваемый бренд не гарантируют соблюдение базовых принципов безопасности. Расширения должны проверяться на используемые протоколы и характер передаваемой информации — только это может обеспечить реальную защиту данных.
Аналитики из Symantec выявили серьёзные уязвимости в ряде популярных расширений для Google Chrome, ставящих под угрозу конфиденциальность и безопасность пользователей. Проблемы связаны с передачей чувствительных данных по незащищённому протоколу HTTP и наличием жёстко заданных секретов в коде расширений
Для просмотра ссылки Войди
В список небезопасных расширений вошли:
- <strong>SEMRush Rank</strong> и <strong>PI Rank</strong> — обращаются по HTTP к адресу <code>rank.trellian[.]com</code>;
- <strong>Browsec VPN</strong> — при удалении расширения отправляет запрос по HTTP на <code>browsec-uninstall.s3-website.eu-central-1.amazonaws[.]com</code>;
- <strong>MSN New Tab</strong> и <strong>MSN Homepage, Bing Search & News</strong> — передают уникальные идентификаторы устройств на <code>g.ceipmsn[.]com</code>;
- <strong>DualSafe Password Manager</strong> — передаёт статистику использования, версию расширения и язык браузера на <code>stats.itopupdate[.]com</code>.
Symantec также Для просмотра ссылки Войди
В их числе:
- <strong>AVG Online Security</strong>, <strong>Speed Dial [FVD]</strong>, <strong>SellerSprite</strong> — содержат зашитый секрет Google Analytics 4 (GA4), с помощью которого можно искажать метрики;
- <strong>Equatio</strong> — содержит ключ Microsoft Azure, используемый для распознавания речи;
- <strong>Awesome Screen Recorder</strong> и <strong>Scrolling Screenshot Tool</strong> — раскрывают AWS-ключ разработчика для загрузки скриншотов в S3-хранилище;
- <strong>Microsoft Editor</strong> — использует телеметрический ключ <code>StatsApiKey</code> для сбора аналитики;
- <strong>Antidote Connector</strong> — использует стороннюю библиотеку InboxSDK с зашитыми API-ключами. Эта же библиотека применяется ещё в более чем 90 расширениях, названия которых не раскрыты;
- <strong>Watch2Gether</strong>, <strong>Trust Wallet</strong>, <strong>TravelArrow</strong> — содержат открытые ключи для API Tenor, Ramp Network и ip-api соответственно.
Эксперты подчёркивают: от GA4 до Azure, от AWS до Ramp — несколько строк незащищённого кода могут привести к компрометации целого сервиса. Решение — не хранить чувствительные данные на клиентской стороне и использовать только защищённые каналы связи.
Пользователям рекомендуют удалить небезопасные расширения до тех пор, пока разработчики не устранят вызовы через незащищённый протокол. Открытый трафик — это не абстрактная угроза: его легко перехватить, а затем использовать для фишинга, слежки и таргетированных атак.
Даже высокая популярность и узнаваемый бренд не гарантируют соблюдение базовых принципов безопасности. Расширения должны проверяться на используемые протоколы и характер передаваемой информации — только это может обеспечить реальную защиту данных.
- Источник новости
- www.securitylab.ru
