Chrome内藏严重安全隐患,硬编码API密钥致2千万用户面临风险

admin 2025年6月6日21:39:26评论0 views字数 1286阅读4分17秒阅读模式
Chrome内藏严重安全隐患,硬编码API密钥致2千万用户面临风险
Chrome内藏严重安全隐患,硬编码API密钥致2千万用户面临风险

赛门铁克(Symantec)在近期一项大规模安全调查中发现,Chrome应用商店存在一个令人担忧的现象:大量浏览器扩展的源代码中直接嵌入了硬编码的API密钥、密钥凭证和令牌。这一疏忽已累计影响超过全球两千万用户,可能导致数据篡改、未授权访问、财务损失,甚至给开发者带来声誉损害。

Part01

安全隐患全面曝光

赛门铁克专家指出:"这些密钥一旦发布,任何有意者都能轻易获取——攻击者只需检查扩展安装包即可提取。"从云资源到分析终端,这些被嵌入的密钥可能被滥用于多种场景,包括垃圾邮件服务、篡改遥测数据乃至接管基础设施。

调查显示多个知名Chrome扩展存在密钥暴露问题,以下是关键发现:

Chrome内藏严重安全隐患,硬编码API密钥致2千万用户面临风险

(显示硬编码Google Analytics 4 API密钥的代码片段 | 图片来源:赛门铁克)

Part02

高危扩展案例盘点

• Avast & AVG Online Security(合计700万+用户)漏洞类型:硬编码Google Analytics 4 API密钥风险:"攻击者可向GA4终端发送虚假事件,破坏指标数据或推高分析成本"

• Equatio数学工具(500万+用户)漏洞:暴露Azure语音识别API密钥风险:"恶意用户若重复调用该接口,可能导致开发者Azure订阅服务产生超额费用"

• Awesome Screenshot截图工具(340万+用户)漏洞:内嵌AWS S3访问密钥风险:"攻击者可编写脚本上传非法内容、恶意文件,甚至渗透其他AWS资源"

• Microsoft Editor编辑器(200万+用户)漏洞:泄露遥测密钥风险:"持有该密钥者可生成伪造遥测数据,耗尽资源或锁定开发者分析系统"

Part03

其他受影响扩展

• Antidote Connector(100万+用户)
通过InboxSDK暴露Google API密钥,可能被用于操纵Gmail数据
• Watch2Gether(100万+用户)
Tenor GIF搜索API密钥暴露,可能导致开发者账户被API服务封禁
• Trust Wallet钱包(100万+用户)
法币通道API密钥泄露,攻击者可伪造加密货币交易请求
• TravelArrow(30万用户)
地理位置API密钥暴露,可能产生高额账单或导致API访问权限被禁用
Part03

其他受影响扩展

开发者将密钥直接嵌入代码的行为,无异于主动邀请攻击者利用服务、耗尽资源或破坏隐私。

赛门铁克强调:"切勿在客户端存储敏感凭证,应通过安全后端服务器路由特权操作。清除暴露的密钥既能维护用户信任,又可避免经济损失,同时确保产品的分析结果安全可靠。"

参考来源:

Chrome Extension Security Alert: Hidden API Keys Expose 21M+ Users to Risk

https://securityonline.info/chrome-extension-security-alert-hidden-api-keys-expose-21m-users-to-risk/

推荐阅读

Chrome内藏严重安全隐患,硬编码API密钥致2千万用户面临风险

电台讨论Chrome内藏严重安全隐患,硬编码API密钥致2千万用户面临风险

Chrome内藏严重安全隐患,硬编码API密钥致2千万用户面临风险

原文始发于微信公众号(FreeBuf):Chrome内藏严重安全隐患,硬编码API密钥致2千万用户面临风险

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年6月6日21:39:26
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Chrome内藏严重安全隐患,硬编码API密钥致2千万用户面临风险https://cn-sec.com/archives/4142532.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息