Chrome Uzantıları Kusur, hassas API anahtarlarını, sırları ve jetonları ortaya çıkarır


API anahtarları, sırlar ve jetonlar gibi hassas kimlik bilgilerini doğrudan kaynak kodları içinde ortaya çıkararak dünya çapında milyonlarca kullanıcıyı etkileyen çok sayıda popüler krom uzantısında kritik bir güvenlik kusuru ortaya çıkarılmıştır.

Modern kalkınma uygulamalarındaki bu endişe verici gözetim, dijital kapıları siber saldırganların sömürmesi için geniş bir şekilde açık bıraktı ve potansiyel olarak veri manipülasyonuna, finansal kayıplara ve gizlilik ihlallerine yol açtı.

Tarayıcı uzantılarının JavaScript dosyalarındaki sabit kodlu kimlik bilgileri, uzatma paketlerini inceleyen herkes için erişilebilir ve kötü niyetli aktörlerin spam analitik uç noktalarından bulut hizmetlerine kadar zararlı istekler oluşturmasına izin verir.

– Reklamcılık –
Google Haberleri

Symantec raporuna göre, bu güvenlik açığı, her biri çevrimiçi güvenlik araçlarından üretkenlik yardımlarına kadar farklı işlevlere hizmet eden çeşitli uzantıları kapsamaktadır ve milyonlarca kullanıcı tabanlarıyla tehdit ölçeğini artırır.

Popüler tarayıcı eklentilerindeki güvenlik açığı

Teknik özelliklere girerek, temel güvenlik ilkelerine meydan okuyan bir uygulama olan doğrudan müşteri tarafı kodlarına hassas verileri doğrudan yerleştiren yüksek profilli krom uzantılar bulunmuştur.

Örneğin, AVAST Online Güvenlik ve Gizlilik ve AVG Online Güvenlik gibi uzantılar, 7,6 milyondan fazla birleşik kullanıcı tabanı olan, Google Analytics 4 (GA4) API sırları komut dosyalarında, saldırganların GA4 uç noktalarını homojen olaylarla doldurmasını, böylece metrikleri bozmasını veya şişirmesini önemsiz hale getiriyor.

Benzer şekilde, 5 milyondan fazla kullanıcı tarafından kullanılan Equatio Math yapılmış dijital, hata ayıklama araçları aracılığıyla görülebilen konuşma tanıma için bir Azure API anahtarı yerleştirir, bu da geliştiriciler için yetkisiz kullanım sivri uçlarına ve fahiş faturalandırmaya yol açabilir.

Daha da önemlisi, S3 kova yüklemeleri için kullanılan kod içindeki AWS erişim anahtarlarını ortaya çıkaran AWS Access Access anahtarlarını ortaya çıkaran Awesome Screen Recorder & ekran görüntüsü ve kaydırma ekran görüntüsü aracı ve ekran yakalama gibi uzantılardır.

Krom uzantılar kusur
Maruz kalan AWS Erişim Anahtarı.

3,4 milyondan fazla kullanıcı ile toplu olarak, bu uzantılar, izinler aşırı izin veriyorsa, saldırganların kötü niyetli içerik veya daha geniş AWS kaynaklarına pivot yüklemelerini sağlama riskiyle karşı karşıya.

Maruz kalan kimlik bilgilerinin ve risklerin teknik dökümü

Microsoft Editor, 2 milyon kullanıcıyla, analizi verilerini parodi yapmak için kullanılabilecek bir telemetri anahtarı ortaya çıkarırken, 1 milyon kullanıcıyla bir kripto para birimi uzantısı olan Trust Cüzdan, bir Fiat Ramps API anahtarını sızdırıyor ve manipüle edilmiş finansal işlemlerin korkusunu artırıyor.

Diğer önemli durumlar arasında bir coğrafi konum API anahtarını açığa çıkaran TravelRrow ve bir tenor GIF arama API anahtarını sızdıran Watch2Gether sayılabilir, bu da görünüşte iyi huylu kimlik bilgilerinin bile kotaları tüketmek veya maliyetlere katılmak için kötüye kullanılabileceğini gösterir.

Krom uzantılar kusur
Açıkta kalan coğrafi konum API anahtarı.

Antidot konnektörü de dahil olmak üzere 90’dan fazla uzatmada üçüncü taraf kütüphanesi InboxSDK’nın kullanımı, Google API anahtarlarını istek başlıklarına yerleştirerek, potansiyel olarak Gmail verilerine veya uç nokta spamlamasına erişime izin vererek sorunu birleştirir.

Watch2gether ve panzehir konnektörü gibi bazı geliştiriciler, bu kusurları son güncellemelerde, kimlik doğrulama akışlarını güvence altına alarak yamalarken, bu güvenlik açığının yaygın doğası genişletme geliştirmede sistemik bir sorunu vurgulamaktadır.

Temel sorun, korunan ortam değişkenlerine sahip güvenli arka uç sunucuları aracılığıyla yönlendirme işlemleri yerine hassas kimlik bilgileri istemci tarafı depolamaktır.

Geliştiriciler, riskleri azaltmak için düzenli anahtar rotasyonu, en az ayrıcalık ilkeleri ve kullanım izleme gibi uygulamaları benimsemelidir, bu da kullanıcı güveni ve operasyonel bütünlüğün giderek daha düşmanca bir dijital manzarada korunmasını sağlar.

Uzlaşma Göstergeleri (IOC)

Uzatma adıUzatma kimliğiKullanıcı sayımıKimlik Bilgisi Maruz Kaldı
Avast Çevrimiçi Güvenlik ve GizlilikGomekmidlodglbbmalcneegiecbdmki7.000.000GA4 API Sırrı
AVG Çevrimiçi Güvenliknbmoafcmbajniepidgficgifbfmjfo600.000GA4 API Sırrı
Equatio – Matematik Yapımı Dijitalhjngolefdpdnooamgdldlkjgmdcmcjnc5.000.000Azure API Anahtarı
Harika ekran kaydedici ve ekran görüntüsünlipoenfbbikpbjkfpfillcgkoblgpmj3.000.000AWS Access Anahtarı
Kaydırma Ekran görüntüsü aracı ve ekran yakalamamfpiaehgjbbfednooiHadalHabhcjo400.000AWS Access Anahtarı
Microsoft Editor: Yazım ve Dilbilgisigpaiobkfhnonedkhhfjpmhdalgeoebfa2.000.000Microsoft Telemetry API Anahtarı
Panzehir konnektörülmbopdiikkamfphhgcckcjhojnokgfeo1.000.000Google API Anahtarı
Watch2getherCIMPFFIMGEIPDHNHJOHPBEHJKCDPJOLG1.000.000Tenor GIF Arama API Anahtarı
Güven cüzdanıEGJIDJBPGLICHDCONDBCBDNBEEPPGDPH1.000.000Fiat Rampa API Anahtarı
TravelRrow – Sanal Seyahat AcentenizCoplmfnphahpcknbhcehdikbdiegnnnnnnnnnnnnnnnnnnnnnnn300.000Coğrafi konum API anahtarı

Siber güvenlik becerilerinizi yükseltmek için 150’den fazla pratik siber güvenlik kursuyla elmas üyeliği alın – buraya kaydolun



Source link