Chrome插件硬编码API密钥泄露,超2100万用户受影响

admin
admin
admin
142963
文章
117
评论
2025年6月6日21:59:06评论2 views字数 1976阅读6分35秒阅读模式

近日,Symantec 发布调查报告,揭示Chrome扩展生态中的一项普遍安全隐患:开发者在扩展源代码中硬编码API密钥、令牌和敏感凭证,导致超过2100万用户面临数据滥用、隐私泄露和经济损失的多重风险。

多款热门扩展“密钥裸奔”

Symantec 表示,这些嵌入在客户端代码中的密钥一经发布即处于完全暴露状态,任何攻击者只需下载并解压扩展程序,即可轻松提取密钥进行滥用。

Symantec 指出多款广受欢迎的 Chrome 扩展程序存在敏感信息泄露问题,以下是主要发现概览:

Chrome插件硬编码API密钥泄露,超2100万用户受影响

代码片段显示了硬编码的 Google Analytics 4(GA4)API 密钥 | 图片来源:Symantec

Avast & AVG Online Security(700万+用户)

暴露内容:Google Analytics 4(GA4)API密钥

潜在风险攻击者可注入大量虚假事件,破坏统计数据、抬高费用

Equatio – 数学数字化工具(500万+用户)

暴露内容:Azure语音识别API密钥

潜在风险重复调用导致开发者Azure账户资源被滥用或消耗殆尽

Awesome Screenshot(340万+用户)

暴露内容:AWS S3访问密钥

潜在风险:上传恶意文件、托管非法内容、攻击其他AWS资源

Microsoft Editor(200万+用户)

暴露内容:遥测密钥

潜在风险:可伪造分析数据、干扰产品监测系统

Antidote Connector(100万+用户)

暴露内容:Google API密钥(通过 InboxSDK)

潜在风险:滥用Gmail权限、干扰Google服务、账户被黑名单封禁

Watch2Gether(100万+用户)

暴露内容:Tenor GIF搜索API密钥

潜在风险:请求洪泛攻击导致开发者账户被服务方封禁

Trust Wallet(100万+用户)

暴露内容:法币交易API密钥

潜在风险:可构造虚假的加密货币买卖请求,诱导用户操作

TravelArrow(30万用户)

暴露内容:地理定位API密钥

潜在风险:请求激增,导致服务费用飙升或接口被关闭

密钥泄露:既失数据,又失控制权

硬编码密钥的危害不只是造成分析数据失真和服务滥用,更可能引发严重的安全后果,包括:

资源盗用:攻击者调用付费API接口,开发者需承担费用;

账号封禁:持续异常请求可能触发API平台风控机制,导致密钥失效;

横向渗透:暴露的云服务密钥可能被用于攻击开发者的其他基础设施;

用户欺骗:通过接口伪造合法行为,可能诱导用户操作甚至造成财产损失。

值得注意的是,部分API密钥关联权限过高,不仅可以读取数据,甚至可以执行操作。例如Google API、AWS S3、Azure等均可能涉及“写入级”权限。

开发者务必移除客户端中的敏感凭据

为防止类似问题继续扩散,安全专家给出如下建议:

开发者

  • 绝不在客户端代码中嵌入任何密钥、token或访问凭证;

  • 将所有认证操作封装至安全的后端服务器;

  • 使用环境变量和密钥管理服务(如AWS Secrets Manager、Google Secret Manager);

  • 为每个API密钥设置最小权限(Principle of Least Privilege)和请求配额。

企业与平台

  • 设定CI/CD检查机制,阻止敏感信息进代码库;

  • 使用静态分析工具扫描扩展程序中的凭据暴露风险;

  • 建立扩展上架前的安全审查流程。

用户

  • 定期审查和清理不常用的浏览器扩展;

  • 限制扩展权限,优先使用“仅在使用时激活”功能;

  • 避免在敏感场景下(如支付、交易)开启不必要的扩展。

此次事件暴露出Chrome扩展生态中一个被长期忽视的“灰色地带”:客户端代码中存储服务密钥的做法在开发中非常常见,却可能为攻击者大开方便之门。对于开发者而言,这不仅是一次安全教训,更是一次责任提醒。

用户信任的建立需要长期维护,安全问题往往只需一次泄露就足以摧毁这种信任。Symantec 呼吁各大浏览器平台和开发者共同完善扩展发布机制,守住用户数据和服务访问的最后一道防线。

消息来源:

https://securityonline.info/chrome-extension-security-alert-hidden-api-keys-expose-21m-users-to-risk/

推荐阅读

01

苹果硬刚欧盟

02

阿迪达斯连曝三起数据泄露事件

03

网络安全十大先进威胁检测技术

安全KER

安全KER致力于搭建国内安全人才学习、工具、淘金、资讯一体化开放平台,推动数字安全社区文化的普及推广与人才生态的链接融合。目前,安全KER已整合全国数千位白帽资源,联合南京、北京、广州、深圳、长沙、上海、郑州等十余座城市,与ISC、XCon、看雪SDC、Hacking Group等数个中大型品牌达成合作。

Chrome插件硬编码API密钥泄露,超2100万用户受影响
Chrome插件硬编码API密钥泄露,超2100万用户受影响

注册安全KER社区

链接最新“圈子”动态

原文始发于微信公众号(安全客):Chrome插件硬编码API密钥泄露,超2100万用户受影响

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年6月6日21:59:06
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Chrome插件硬编码API密钥泄露,超2100万用户受影响https://cn-sec.com/archives/4141915.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息