多款 Chrome 扩展 翻车，存在密钥暴露问题

浏览器扩展程序为用户带来了诸多便利，从密码管理到页面优化，从广告拦截到数据分析，各种功能的扩展丰富了我们的网络体验。然而，近日赛门铁克（Symantec）的安全技术与响应团队研究人员指出，多款广受欢迎的Chrome扩展程序存在严重的安全隐患。

安全研究员表示，“有几款被广泛使用的扩展程序……无意间通过简单的HTTP协议传输敏感数据。”这看似简单的传输方式却蕴含着巨大的风险。以明文形式传输数据，意味着用户的浏览域名、机器ID、操作系统细节、使用分析数据，甚至卸载信息等都可能被轻易获取。

未加密的网络流量使得这些扩展程序极易成为中间人攻击（AitM）的目标。想象一下，当你在公共Wi-Fi环境下使用这些存在问题的扩展程序时，恶意攻击者就如同潜伏在暗处的“黑客”，能够轻松拦截传输中的数据。更糟糕的是，他们还可能对数据进行修改，而用户对此却浑然不知。这种情况可能引发一系列严重后果，比如用户被引导至恶意网站，个人信息被用于精准诈骗，甚至导致更严重的财产损失。

易受攻击的扩展程序列表如下：

通过 HTTP 传输数据的扩展程序：

SEMRush Rank ：它们通过纯文本 HTTP 调用 “rank.trellian[.]com”。

Browsec VPN ：当用户尝试卸载该扩展程序时，它会通过 HTTP 调用 “browsec-uninstall.s3-website.eu-central-1.amazonaws[.]com” 这个卸载网址。

MSN New Tab ：它们会通过 HTTP 将唯一的机器标识符及其他详细信息发送到 “g.ceipmsn[.]com”。

DualSafe Password Manager & Digital Vault：该程序会构建一个基于 HTTP 的网址请求，发送到 “stats.itopupdate[.]com”，同时附带有关扩展程序版本、用户浏览器语言及使用 “类型” 的信息。

在 JavaScript 代码中直接嵌入 API 密钥、机密和令牌的扩展程序：

Online Security & Privacy extension ：这些扩展程序暴露了一个硬编码的谷歌分析 4 (GA4) API 密钥，攻击者可利用该密钥攻击 GA4 端点，破坏指标数据。

Equatio – Math Made Digital：该程序嵌入了一个用于语音识别的微软 Azure API 密钥，攻击者可借此增加开发者的费用或耗尽其使用限额。

Awesome Screen Recorder & Screenshot：它们暴露了开发者的亚马逊云服务（AWS）访问密钥，该密钥用于将截图上传至开发者的 S3 存储桶。

Microsoft Editor – Spelling & Grammar Checker ：该程序暴露了一个名为 “StatsApiKey” 的遥测密钥，用于记录用户数据以进行分析。

Antidote Connector ：它包含了一个名为 InboxSDK 的第三方库，其中含有硬编码的凭据，包括 API 密钥。

Watch2Gether ：该程序暴露了一个 Tenor GIF 搜索结果 API 密钥。

Trust Wallet：它暴露了一个与 Ramp 网络相关的 API 密钥，Ramp 网络是一个 Web3 平台。

TravelArrow：该程序在向 “ip-api[.]com” 发送查询时暴露了一个地理位置 API 密钥。

这些被暴露的密钥一旦落入攻击者手中，后果不堪设想，从恶意增加API调用成本，到托管非法内容，再到发送虚假遥测数据、模拟加密货币交易订单等，甚至可能导致开发者的账号被封禁。

令人担忧的是，Antidote Connector并非个例，赛门铁克表示有超过90个扩展程序使用了InboxSDK，这意味着其他众多扩展程序可能也存在同样的安全隐患，而这些扩展程序的名称尚未完全披露。

这一事件也给所有用户和开发者上了一课，即使是拥有庞大用户群体和知名品牌的扩展程序，也不能理所当然地认为其在加密和数据安全方面做到了万无一失。在选择和使用扩展程序时，用户应仔细审查其使用的协议和分享的数据，开发者则应时刻保持对安全问题的警惕，确保用户信息的真正安全。 

球分享

球点赞

球在看

点击阅读原文查看更多

原文始发于微信公众号（看雪学苑）：多款 Chrome 扩展 “翻车”，存在密钥暴露问题