Hassas API anahtarlarının, sırların ve kimlik doğrulama belirteçlerinin doğrudan uzatma koduna gömülü olarak gösterildiğini ortaya çıkaran milyonlarca Chrome Extension kullanıcısını etkileyen önemli bir güvenlik açığı keşfedildi.
Bu kritik kusur, geliştiricilerin kimlik bilgilerini JavaScript dosyalarına zorlaştırarak bu sırları uzatma paketlerini inceleyen herkes için erişilebilir hale getirir.
Güvenlik açığı, milyonlarca kombine kullanıcı ile popüler uzantıları etkiler, potansiyel olarak bulut hizmetlerini, analiz platformlarını ve diğer üçüncü taraf entegrasyonları yetkisiz erişim ve kötüye kullanıma yönlendirir.
.png
)
Güvenlik gözetimi, hassas kimlik doğrulama materyallerinin istemci tarafı kodu içinde düz metinde saklandığı modern yazılım geliştirmedeki en temel hatalardan birini temsil eder.
Krom uzantıları web mağazasına yayınlandıktan sonra, kaynak kodları inceleme için hazır hale gelir ve bu kimlik bilgilerini potansiyel saldırganlara etkili bir şekilde yayınlar.
Kötü niyetli aktörler bu kimlik bilgilerini spam analizi hizmetlerine kullanabilir, yetkisiz bulut bilişim maliyetlerine maruz kalabilir, kötü niyetli içerik yükleyebilir veya her bir taviz verilen anahtarla ilişkili izinlere bağlı olarak bağlı hizmetlere daha geniş erişim elde edebilir.
Symantec araştırmacıları, popüler tarayıcı uzantılarının rutin güvenlik değerlendirmelerini yaparken, birden fazla yüksek profilli uzantıya kötü kimlik bilgisi yönetim uygulamalarının bir modelini ortaya çıkarırken bu yaygın güvenlik açığını belirlediler.
Keşif, kolaylığın genellikle güvenlik hususlarının yerini aldığı genişletme geliştirme uygulamalarında sistemik bir sorunu vurgulamaktadır.
Etkilenen uzantılar toplu olarak 15 milyondan fazla kullanıcıya hizmet ederek bunu son tarayıcı uzantısı geçmişindeki en büyük kimlik bilgisi pozlama olaylarından biri haline getiriyor.
Güvenlik açığının etkisi, bozulmuş analiz verilerinden bulut hizmetleri istismar için hedef haline gelen genişletme geliştiricileri için potansiyel finansal kayıplara kadar, maruz kalan kimlik bilgilerinin türüne ve kapsamına bağlı olarak önemli ölçüde değişmektedir.
Daha da önemlisi, saldırganların daha geniş bir altyapıya dönüşmek, potansiyel olarak veritabanlarına, dosya depolama sistemlerine veya diğer bağlı kaynaklara erişmek için tehlikeye atılmış AWS kimlik bilgilerini veya benzeri bulut hizmet anahtarlarını kullanma olasılığıdır.
Kimlik bilgisi maruz kalma modellerinin teknik analizi
Maruz kalan kimlik bilgileri, analitik anahtarlar, bulut depolama kimlik bilgileri ve konuşma tanıma API jetonları ile en yaygın güvenlik açıklarını temsil eden farklı uzantı kategorilerindeki farklı kalıpları takip eder.
Avast Online Güvenlik ve Gizlilik ve AVG Online Güvenlik Uzantıları durumunda, sabit kodlu Google Analytics 4 API sırları doğrudan JavaScript değişkenlerinde görünür.
%20API%20secrets%20(Source%20-%20Security).webp)
Kod snippet var GA4_API_SECRET = "2y-Q"; Bu sırların analitik URL’lere nasıl eklendiğini gösterir ve saldırganların GA4 uç noktalarını hileli olaylar ve yozlaşmış metrik verileri ile doldurmasını sağlar.
Benzer şekilde, Equatio – Math Made Digital Extension, konuşma tanıma hizmetleri için Azure API anahtarlarını ortaya çıkarır. window.equatioAzureApiKey = "48!3";.
Bu pozlama, kötü niyetli kullanıcıların geliştiricinin Azure abonelik kaynaklarını tüketmelerine izin vererek potansiyel olarak önemli ölçüde beklenmedik maliyetlerle sonuçlanır.
.webp)
En şiddetli vakalar, açıkta kalan kimlik bilgilerinin burada ekran görüntüsü uygulamalarında bulunan AWS erişim anahtarlarını içerir AWSAccessKeyId: "AKIA" kimlik bilgileri daha geniş izinlere sahipse, saldırganların S3 kovalarına kötü niyetli içerik yüklemesini veya diğer AWS hizmetlerine erişmesini sağlayabilir.
Tehdit istihbarat aramasıyla tehdit araştırmalarını hızlandırın ve zenginleştirin! -> 50 Deneme Arama İsteği