Populaire chromen extensies lekken API -toetsen, gebruikersgegevens via HTTP en hardcodes voorrichtingen

Cyberbeveiliging
Populaire chromen extensies lekken API -toetsen, gebruikersgegevens via HTTP en hardcodes voorrichtingen

Cybersecurity-onderzoekers hebben verschillende populaire Google Chrome-extensies gemarkeerd waarvan is gevonden dat ze gegevens in HTTP en harde code geheimen in hun code verzenden, waardoor gebruikers worden blootgesteld aan privacy- en beveiligingsrisico’s.

“Verschillende veel gebruikte extensies (…) verzenden onbedoeld gevoelige gegevens over eenvoudige HTTP,” zei Yuanjing Guo, een beveiligingsonderzoeker in het Symantec’s Security Technology and Response Team. “Door dit te doen, stellen ze browsedomeinen, machine -ID’s, besturingssysteemdetails, gebruiksanalyses en zelfs verwijder informatie bloot in platte tekst.”

Het feit dat het netwerkverkeer niet-gecodeerd is, betekent ook dat ze vatbaar zijn voor aanvallen van tegenstanders-in-the-middle (AITM), waardoor kwaadaardige actoren op hetzelfde netwerk zoals een openbare Wi-Fi kunnen worden onderschept en, erger nog, deze gegevens kunnen wijzigen, wat zou kunnen leiden tot veel ernstigere gevolgen.

De lijst met geïdentificeerde extensies is hieronder –

  • SEMRUSH RANK (Extension ID: idbhoeaiOKcoJcgAppFigpifhpkjgmab) en pi rank (id: ccgdboldgdlngcgfdolahmiilojmfndl), die de url noemen “rank.trellian (.) Com”
  • Browsec vpn (id: omghfjlpggmjjaagoclmmObgdodcjboh), die http gebruikt om een ​​url uit te schakelen op ‘browsec-uninstall.s3-website.eu-c-central-1.amazonaws (.)
  • MSN Nieuw tab (ID: LKLFBKDIGIHJAAAMNCIBECHHGALLDGL) en MSN HOMEPAGE, Bing Search & News (ID: MidiombanaceOfjhodpdiBeppmnamfcj), die een unieke machine -identificatier en andere details overbrengen naar “G.CEIPMSN (.) Com”
  • Dualsafe wachtwoordbeheerder & digitale kluis (id: lgbjhdkjmpgjgccbcdlhkokkckpjmedgc), die een http-gebaseerd URL-verzoek construeert aan “stats.itopupdate (.) COM” samen met informatie over de uitbreidingsversie, de browser van de gebruiker, en gebruik “type” type “type” Type “Type” Type “Type”

“Hoewel referenties of wachtwoorden niet lekken, lekken het feit dat een wachtwoordbeheerder niet -gecodeerde verzoeken om telemetrie gebruikt, vertrouwen in zijn algemene beveiligingshouding,” zei Guo.

Symantec zei dat het ook een andere reeks extensies identificeerde met API -toetsen, geheimen en tokens die direct zijn ingebed in de JavaScript -code, die een aanvaller kon bewapenen om kwaadaardige verzoeken te maken en verschillende kwaadaardige acties uit te voeren –

  • Online Security & Privacy extension (ID: gomekmidlodglbbmalcneegieacbdmki), AVG Online Security (ID: nbmoafcmbajniiapeidgficgifbfmjfo), Speed ​​Dial (FVD) – New Tab Page, 3D, Sync (ID: llaficoajjainaijghjlofdfmbjpebpa), and SellerPrite – Amazon Research Tool (ID: lnbmbgocenenhhhdojdielgnmeflbnfb), die een hard gecodeerde Google Analytics 4 (GA4) API -geheim blootstellen dat een aanvaller zou kunnen gebruiken om het GA4 -eindpunt en corrupte metrics te bombarderen

  • Equatio – Math Made Digital (ID: hjngolefdpdnooamgdldlkjgmdcmcjnc), which embeds a Microsoft Azure API key used for speech recognition that an attacker could use to inflate the developer’s costs or exhaust their usage limits

  • Awesome Screen Recorder & Screenshot (ID: nlipoenfbikpbjkfpfillcgkoblgpmj) en scrolling screenshot tool & screen capture (id: mfpiaehgjbbfednooihadalhehabhcjo), die de ontwikkelaars Amazon Webservices (AWS) Toegangsleutel screenshots naar de ontwikkeling van de ontwikkelaar.

  • Microsoft Editor – Spelling & Grammar Checker (ID: GPAIOBKFHNONEdKHHFJPMHDALGEOebfa), die een telemetrie -sleutel blootstelt met de naam “StatSapikey” om gebruikersgegevens voor analyses te loggen voor analyses voor analyses voor analyses

  • Antidote Connector (ID: LMBOPDIIKMAMFPHHGCCKCJHOJNOKGFEO), die een bibliotheek van derden bevat genaamd InboxSDK die hard gecodeerde referenties bevat, inclusief API-toetsen.

  • Watch2Gether (id: cimpffimgeipdhnhjohpbehjkcdpjolg), die een tenor gif search API -sleutel blootlegt

  • Trust Wallet (ID: EGJIDJBPGLICHDCONDBCBDNBEEPPGDPH), die een API -sleutel blootstelt die is gekoppeld aan het RAMP -netwerk, een Web3 -platform dat portemonnee -ontwikkelaars een manier biedt om gebruikers te laten kopen of crypto rechtstreeks van de app te laten kopen of te verkopen

  • TravelArrow-Uw virtuele reisagent (ID: coplmfnphahpcknbchcehdiKbdieognn), die een geolocatie-API-sleutel blootstelt bij het maken van vragen naar “ip-api (.) Com”

Aanvallers die uiteindelijk deze sleutels vinden, kunnen ze bewapenen om API -kosten op te stimuleren, illegale inhoud te organiseren, spoofed telemetriegegevens te verzenden en cryptocurrency -transactiebestellingen na te bootsen, waarvan sommige konden zien dat het verbod van de ontwikkelaar verboden werd.

Aan de bezorgdheid, is antidote connector slechts een van de meer dan 90 extensies die InboxSDK gebruiken, wat betekent dat de andere extensies vatbaar zijn voor hetzelfde probleem. De namen van de andere extensies werden niet bekendgemaakt door Symantec.

“Van GA4 Analytics Secrets tot Azure spraaksleutels en van AWS S3-referenties tot Google-specifieke tokens, elk van deze fragmenten laat zien hoe een paar regels code een hele service in gevaar kunnen brengen,” zei Guo. “De oplossing: bewaar nooit gevoelige referenties aan de clientzijde.”

Ontwikkelaars worden aanbevolen om over te schakelen naar HTTPS wanneer ze gegevens verzenden of ontvangen, referenties veilig opslaan in een backend -server met behulp van een referentiebeheerservice en regelmatig geheimen roteren om het risico verder te minimaliseren.

De bevindingen laten zien hoe zelfs populaire extensies met honderdduizenden installaties kunnen lijden aan triviale verkeerde configuraties en beveiligingsblunders zoals hard gecodeerde referenties, waardoor de gegevens van gebruikers in gevaar blijven.

“Gebruikers van deze extensies moeten overwegen ze te verwijderen totdat de ontwikkelaars de onzekere (HTTP) -oproepen aanpakken,” zei het bedrijf. “Het risico is niet alleen theoretisch; niet -gecodeerd verkeer is eenvoudig te vangen en de gegevens kunnen worden gebruikt voor profilering, phishing of andere gerichte aanvallen.”

“De overkoepelende les is dat een grote installatiebasis of een bekend merk niet noodzakelijkerwijs zorgt voor best practices rond codering. Extensies moeten worden onderzocht op de protocollen die ze gebruiken en de gegevens die ze delen, om ervoor te zorgen dat de informatie van gebruikers echt veilig blijft.”

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

OnePlus 13 vs Google Pixel 9 Pro -specificaties

Reddit klaagt antropische AI ​​aan voor ongeautoriseerde gegevensschrapen

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]