API anahtarları, sırlar ve jetonlar gibi hassas kimlik bilgilerini doğrudan kaynak kodları içinde ortaya çıkararak dünya çapında milyonlarca kullanıcıyı etkileyen çok sayıda popüler krom uzantısında kritik bir güvenlik kusuru ortaya çıkarılmıştır.
Modern kalkınma uygulamalarındaki bu endişe verici gözetim, dijital kapıları siber saldırganların sömürmesi için geniş bir şekilde açık bıraktı ve potansiyel olarak veri manipülasyonuna, finansal kayıplara ve gizlilik ihlallerine yol açtı.
Tarayıcı uzantılarının JavaScript dosyalarındaki sabit kodlu kimlik bilgileri, uzatma paketlerini inceleyen herkes için erişilebilir ve kötü niyetli aktörlerin spam analitik uç noktalarından bulut hizmetlerine kadar zararlı istekler oluşturmasına izin verir.
.png
)
Symantec raporuna göre, bu güvenlik açığı, her biri çevrimiçi güvenlik araçlarından üretkenlik yardımlarına kadar farklı işlevlere hizmet eden çeşitli uzantıları kapsamaktadır ve milyonlarca kullanıcı tabanlarıyla tehdit ölçeğini artırır.
Popüler tarayıcı eklentilerindeki güvenlik açığı
Teknik özelliklere girerek, temel güvenlik ilkelerine meydan okuyan bir uygulama olan doğrudan müşteri tarafı kodlarına hassas verileri doğrudan yerleştiren yüksek profilli krom uzantılar bulunmuştur.
Örneğin, AVAST Online Güvenlik ve Gizlilik ve AVG Online Güvenlik gibi uzantılar, 7,6 milyondan fazla birleşik kullanıcı tabanı olan, Google Analytics 4 (GA4) API sırları komut dosyalarında, saldırganların GA4 uç noktalarını homojen olaylarla doldurmasını, böylece metrikleri bozmasını veya şişirmesini önemsiz hale getiriyor.
Benzer şekilde, 5 milyondan fazla kullanıcı tarafından kullanılan Equatio Math yapılmış dijital, hata ayıklama araçları aracılığıyla görülebilen konuşma tanıma için bir Azure API anahtarı yerleştirir, bu da geliştiriciler için yetkisiz kullanım sivri uçlarına ve fahiş faturalandırmaya yol açabilir.
Daha da önemlisi, S3 kova yüklemeleri için kullanılan kod içindeki AWS erişim anahtarlarını ortaya çıkaran AWS Access Access anahtarlarını ortaya çıkaran Awesome Screen Recorder & ekran görüntüsü ve kaydırma ekran görüntüsü aracı ve ekran yakalama gibi uzantılardır.
3,4 milyondan fazla kullanıcı ile toplu olarak, bu uzantılar, izinler aşırı izin veriyorsa, saldırganların kötü niyetli içerik veya daha geniş AWS kaynaklarına pivot yüklemelerini sağlama riskiyle karşı karşıya.
Maruz kalan kimlik bilgilerinin ve risklerin teknik dökümü
Microsoft Editor, 2 milyon kullanıcıyla, analizi verilerini parodi yapmak için kullanılabilecek bir telemetri anahtarı ortaya çıkarırken, 1 milyon kullanıcıyla bir kripto para birimi uzantısı olan Trust Cüzdan, bir Fiat Ramps API anahtarını sızdırıyor ve manipüle edilmiş finansal işlemlerin korkusunu artırıyor.
Diğer önemli durumlar arasında bir coğrafi konum API anahtarını açığa çıkaran TravelRrow ve bir tenor GIF arama API anahtarını sızdıran Watch2Gether sayılabilir, bu da görünüşte iyi huylu kimlik bilgilerinin bile kotaları tüketmek veya maliyetlere katılmak için kötüye kullanılabileceğini gösterir.
Antidot konnektörü de dahil olmak üzere 90’dan fazla uzatmada üçüncü taraf kütüphanesi InboxSDK’nın kullanımı, Google API anahtarlarını istek başlıklarına yerleştirerek, potansiyel olarak Gmail verilerine veya uç nokta spamlamasına erişime izin vererek sorunu birleştirir.
Watch2gether ve panzehir konnektörü gibi bazı geliştiriciler, bu kusurları son güncellemelerde, kimlik doğrulama akışlarını güvence altına alarak yamalarken, bu güvenlik açığının yaygın doğası genişletme geliştirmede sistemik bir sorunu vurgulamaktadır.
Temel sorun, korunan ortam değişkenlerine sahip güvenli arka uç sunucuları aracılığıyla yönlendirme işlemleri yerine hassas kimlik bilgileri istemci tarafı depolamaktır.
Geliştiriciler, riskleri azaltmak için düzenli anahtar rotasyonu, en az ayrıcalık ilkeleri ve kullanım izleme gibi uygulamaları benimsemelidir, bu da kullanıcı güveni ve operasyonel bütünlüğün giderek daha düşmanca bir dijital manzarada korunmasını sağlar.
Uzlaşma Göstergeleri (IOC)
| Uzatma adı | Uzatma kimliği | Kullanıcı sayımı | Kimlik Bilgisi Maruz Kaldı |
|---|---|---|---|
| Avast Çevrimiçi Güvenlik ve Gizlilik | Gomekmidlodglbbmalcneegiecbdmki | 7.000.000 | GA4 API Sırrı |
| AVG Çevrimiçi Güvenlik | nbmoafcmbajniepidgficgifbfmjfo | 600.000 | GA4 API Sırrı |
| Equatio – Matematik Yapımı Dijital | hjngolefdpdnooamgdldlkjgmdcmcjnc | 5.000.000 | Azure API Anahtarı |
| Harika ekran kaydedici ve ekran görüntüsü | nlipoenfbbikpbjkfpfillcgkoblgpmj | 3.000.000 | AWS Access Anahtarı |
| Kaydırma Ekran görüntüsü aracı ve ekran yakalama | mfpiaehgjbbfednooiHadalHabhcjo | 400.000 | AWS Access Anahtarı |
| Microsoft Editor: Yazım ve Dilbilgisi | gpaiobkfhnonedkhhfjpmhdalgeoebfa | 2.000.000 | Microsoft Telemetry API Anahtarı |
| Panzehir konnektörü | lmbopdiikkamfphhgcckcjhojnokgfeo | 1.000.000 | Google API Anahtarı |
| Watch2gether | CIMPFFIMGEIPDHNHJOHPBEHJKCDPJOLG | 1.000.000 | Tenor GIF Arama API Anahtarı |
| Güven cüzdanı | EGJIDJBPGLICHDCONDBCBDNBEEPPGDPH | 1.000.000 | Fiat Rampa API Anahtarı |
| TravelRrow – Sanal Seyahat Acenteniz | Coplmfnphahpcknbhcehdikbdiegnnnnnnnnnnnnnnnnnnnnnnn | 300.000 | Coğrafi konum API anahtarı |
Siber güvenlik becerilerinizi yükseltmek için 150’den fazla pratik siber güvenlik kursuyla elmas üyeliği alın – buraya kaydolun