Эксперты по кибербезопасности выявили, что несколько популярных расширений Google Chrome передают пользовательские данные по незашифрованному протоколу HTTP и внедряют секреты прямо в код, что подвергает пользователей риску потери конфиденциальности и безопасности.
«Некоторые известные расширения [...] по ошибке отправляют конфиденциальную информацию через незащищённый HTTP», — рассказал Yuanjing Guo из команды Symantec по безопасности. — «Это даёт возможность перехватывать адреса посещаемых сайтов, идентификаторы устройств, сведения об операционной системе, аналитику использования и даже данные об удалении расширений в открытом виде».
Такой незашифрованный трафик уязвим для атак “человек посередине” (MitM), когда злоумышленник, подключённый к той же сети — например, в общественном Wi-Fi — может перехватить и даже изменить данные, что грозит серьёзными последствиями.
Ниже перечислены обнаруженные расширения:
- SEMRush Rank (ID: idbhoeaiokcojcgappfigpifhpkjgmab) и PI Rank (ID: ccgdboldgdlngcgfdolahmiilojmfndl), которые отправляют запросы к «rank.trellian[.]com» по обычному HTTP
- Browsec VPN (ID: omghfjlpggmjjaagoclmmobgdodcjboh), использующее HTTP для вызова URL удаления расширения на «browsec-uninstall.s3-website.eu-central-1.amazonaws[.]com» при деинсталляции
- MSN New Tab (ID: lklfbkdigihjaaeamncibechhgalldgl) и MSN Homepage, Bing Search & News (ID: midiombanaceofjhodpdibeppmnamfcj), которые передают уникальные идентификаторы устройств и другую информацию по HTTP на «g.ceipmsn[.]com»
- DualSafe Password Manager & Digital Vault (ID: lgbjhdkjmpgjgcbcdlhkokkckpjmedgc), формирующий HTTP-запросы с версией расширения, языком браузера и типом использования на «stats.itopupdate[.]com»
Хотя пароли напрямую не передаются, Guo отметил: «Использование незашифрованных запросов даже для телеметрии в менеджерах паролей серьёзно подрывает доверие к их безопасности».
В Symantec также обнаружили набор расширений, где API-ключи и секреты "захардкожены" прямо в JavaScript-коде — злоумышленник может использовать их для вредоносных действий:
- Online Security & Privacy (ID: gomekmidlodglbbmalcneegieacbdmki), AVG Online Security (ID: nbmoafcmbajniiapeidgficgifbfmjfo), Speed Dial [FVD] (ID: llaficoajjainaijghjlofdfmbjpebpa) и SellerSprite – Amazon Research Tool (ID: lnbmbgocenenhhhdojdielgnmeflbnfb) содержат "захардкоженный" секрет Google Analytics 4 (GA4), который злоумышленник может использовать для подделки и искажения метрик
- Equatio – Math Made Digital (ID: hjngolefdpdnooamgdldlkjgmdcmcjnc) хранит ключ Microsoft Azure для распознавания речи, с помощью которого атака может увеличить расходы разработчика или исчерпать лимиты
- Awesome Screen Recorder & Screenshot (ID: nlipoenfbbikpbjkfpfillcgkoblgpmj) и Scrolling Screenshot Tool & Screen Capture (ID: mfpiaehgjbbfednooihadalhehabhcjo) раскрывают AWS-ключи, используемые для загрузки скриншотов в хранилище разработчика
- Microsoft Editor – Spelling & Grammar Checker (ID: gpaiobkfhnonedkhhfjpmhdalgeoebfa) раскрывает ключ телеметрии «StatsApiKey», который используется для сбора аналитики пользователя
- Antidote Connector (ID: lmbopdiikkamfphhgcckcjhojnokgfeo) включает стороннюю библиотеку InboxSDK с жёстко прописанными API-ключами и учётными данными
- Watch2Gether (ID: cimpffimgeipdhnhjohpbehjkcdpjolg) раскрывает API-ключ поиска GIF через сервис Tenor
- Trust Wallet (ID: egjidjbpglichdcondbcbdnbeeppgdph) публикует API-ключ платформы Ramp Network, которая позволяет покупать и продавать криптовалюту прямо из кошелька
- TravelArrow – Your Virtual Travel Agent (ID: coplmfnphahpcknbchcehdikbdieognn) раскрывает ключ геолокационного API при запросах к «ip-api[.]com»
Злоумышленники, получив такие ключи, могут вызвать серьёзные финансовые убытки у разработчиков из-за роста расходов на API, размещать запрещённый контент, отправлять ложные данные для телеметрии и подделывать криптовалютные транзакции — всё это может привести к блокировке аккаунтов.
Кроме того, Antidote Connector — всего лишь одно из более 90 расширений, использующих InboxSDK, что указывает на сходные уязвимости во многих других расширениях, названия которых пока не раскрывают.
Guo подвёл итог: «От секретов GA4 до ключей Azure и AWS — всего пара строк кода могут поставить под угрозу целый сервис. Единственный выход — никогда не хранить чувствительные ключи на клиенте».
Разработчикам настоятельно рекомендуют отказаться от HTTP, перейти на HTTPS для всех передаваемых данных, хранить ключи на сервере через сервисы управления учётными данными и регулярно менять секреты, чтобы снизить риски.
Эти факты показывают, что даже известные расширения с сотнями тысяч установок страдают от простых ошибок и халатности в безопасности, подвергая пользователей опасности.
«Мы советуем пользователям удалить эти расширения до тех пор, пока разработчики не исправят передачу данных по незащищённому HTTP», — предупреждают эксперты. — «Риск реальный: незашифрованный трафик легко перехватить и использовать для профайлинга, фишинга и других целевых атак».
«Главный вывод: большое количество пользователей или популярное имя не гарантируют надёжную защиту данных. Нужно внимательно проверять протоколы и передаваемые данные, чтобы обезопасить личные данные пользователей».
Если вам понравилась эта статья, подпишитесь, чтобы не пропустить еще много полезных статей!
Премиум подписка - это доступ к эксклюзивным материалам, чтение канала без рекламы, возможность предлагать темы для статей и даже заказывать индивидуальные обзоры/исследования по своим запросам!Подробнее о том, какие преимущества вы получите с премиум подпиской, можно узнать здесь
Также подписывайтесь на нас в:
- Telegram: https://t.me/gergenshin
- Youtube: https://www.youtube.com/@gergenshin
- Яндекс Дзен: https://dzen.ru/gergen
- Официальный сайт: https://www-genshin.ru