Symantec выявила, что ряд популярных расширений для Chrome передаёт пользовательские данные по незашифрованному HTTP и хранят API-ключи прямо в коде. Это открывает путь атакам типа man-in-the-middle и может привести к утечке технической информации, уникальных ID и телеметрии.
В числе уязвимых — расширения SEMRush Rank, Browsec VPN, MSN New Tab, DualSafe Password Manager, Avast Online Security, AVG, Trust Wallet и другие. Некоторые раскрывают ключи API Google Analytics, Azure, AWS и сторонних платформ (например, Ramp или Tenor), что позволяет злоумышленникам генерировать вредоносные запросы или манипулировать аналитикой.
Symantec рекомендует разработчикам отказаться от хранения API-ключей на клиенте и перейти на HTTPS. Пользователям советуют временно удалить затронутые расширения до устранения проблем. Популярность и известность расширения — не гарантия его безопасности.
