Siber güvenlik araştırmacıları, HTTP’de veri ve kodlarında sabit kod sırlarını ilettiği tespit edilen birkaç popüler Google Chrome uzantısını işaretleyerek kullanıcıları gizlilik ve güvenlik risklerine maruz bıraktılar.
“Birkaç yaygın olarak kullanılan uzantılar […] Kasıtsız olarak hassas verileri basit HTTP’ye iletir, “Symantec’in güvenlik teknolojisi ve müdahale ekibinde bir güvenlik araştırmacısı olan Yuanjing Guo,” bunu yaparak, plüde metninde tarama alanları, makine kimlikleri, işletim sistemi detayları, kullanım analizi ve hatta kaldırma bilgilerini düz metin olarak açığa çıkarıyorlar. “
Ağ trafiğinin şifrelenmemiş olması, ortada düşman (AITM) saldırılarına duyarlı oldukları anlamına gelir ve kamu Wi-Fi gibi aynı ağdaki kötü niyetli aktörlerin kesişmesine ve daha da kötüsü, bu verileri değiştirmesine izin verir, bu da çok daha ciddi sonuçlara yol açabilir.
Belirlenen uzantıların listesi aşağıdadır –
- Semrush Sıralaması (Uzatma Kimliği: IdbhoeokcggappfigpifhpkjgMab) ve Pi Sıralaması (id: ccgdboldgdlngcgfdolahmiilojmfndl), URL “rank.[.]com “düz http üzerinden
- Browsec VPN (ID: OMGHFJLPGGMJAAGOCLMMOBGDODCJBOH), “Browsec-Uninstall.s3-Website.eu-Central-1.AMAZONAWS adresinden kaldırma URL’sini çağırmak için HTTP kullanıyor.[.]com “Bir kullanıcı uzantıyı kaldırmaya çalıştığında
- Msn yeni sekmesi (id: lklfbkdigiihjaamncibechgalldgl) ve msn ana sayfası, bing arama ve haberler (id: midiomkaceofjhodpdibeppmnamfcj), benzersiz bir makine tanımlayıcısı ve diğer detayları http’ye “g.ceipmsn[.]com “
- HTTP tabanlı bir URL isteği oluşturan “Statopupdate[.]com “uzantı sürümü, kullanıcının tarayıcı dili ve kullanımı” türü “hakkında bilgilerle birlikte” Tür “
Guo, “Kimlik bilgileri veya şifreler sızdırılmamış gibi görünse de, bir şifre yöneticisinin telemetri için şifrelenmemiş istekler kullanması, genel güvenlik duruşunda güven aşındırıyor.” Dedi.
Symantec, doğrudan JavaScript koduna gömülü API anahtarları, sırlar ve jetonlar içeren başka bir uzantıyı da belirlediğini, bir saldırganın kötü niyetli istekler yapmak ve çeşitli kötü niyetli eylemler yapmak için silahlandırabileceğini söyledi –
Çevrimiçi Güvenlik ve Gizlilik Uzantısı (ID: GOMEKMIDLOLGLGBBMalCneegieacbdmki), AVG Online Güvenlik (ID: NBMOAFCMBAJNIAPEIDGFIFBFMJFO), Hızlı Arama [FVD] – Yeni sekme sayfası, 3d, senkronizasyon (id: llaficoajjainaiijghjlofdfmbjpebpa) ve sellersprite – Amazon araştırma aracı (lnbmbgocenenhhhdojdielgnmeflbnfb), bombalı bir şekilde kullanılabilir ve bombalayan bir saldırgan kullanabilir. metrikler
Equatio – Matematik Yapımı Dijital (ID: HjnGolefdpdpdnooAmgdllkjgmdcmcjnc), bir saldırganın geliştiricinin maliyetlerini şişirmek veya kullanım sınırlarını tüketmek için kullanabileceği konuşma tanıması için kullanılan bir Microsoft Azure API anahtarı.
Harika Ekran Kaydedici ve Ekran Görüntüsü (ID: Nlipoenfbikpbjkfpfillcgkoblgpmj) ve kaydırma ekran görüntüsü aracı ve ekran yakalama (Id: MfpiaHgbbbfednooihadalhabhcjo), geliştiricinin Web Hizmetleri (Amazon Web Hizmetleri (Amazon Web Hizmetleri) Geliştiricisi kullandığını ortaya koyan ekranın kullandığını ortaya çıkaran,
Microsoft Editor – Yazım ve Dilbilgisi Denetleyicisi (ID: GPAIOBKFHNONEDKHHFJPMHDalgeoebfa), “Statsapikey” adlı bir telemetri anahtarı Analytics için kullanıcı verilerini kaydetmek için açığa çıkarır
API anahtarları da dahil olmak üzere sert kodlanmış kimlik bilgileri içeren InboxSSDK adlı üçüncü taraf bir kütüphane içeren panzehir konnektörü (ID: LMBopdiikKamfhgccKCJHOJNOKGFEO).
Tenor GIF Arama API tuşunu ortaya çıkaran Watch2Gether (ID: CIMPFFIMGEIPDHNHPBEHJKCDPJOLG)
Cüzdan geliştiricilerine doğrudan uygulamadan kripto satın almasına veya satmasına izin vermenin bir yolu sunan bir Web3 platformu olan Rampa Ağı ile ilişkili bir API anahtarını açığa çıkaran güven cüzdanı (id: eGjidjbpglbcbdnBeeppgdph)
Travelarrow-“IP-api[.]com “
Bu anahtarları bulan saldırganlar, API maliyetlerini artırmak, yasadışı içeriğe ev sahipliği yapmak, sahtekarlık telemetri verilerini göndermek ve bazıları geliştiricinin yasağının yasaklandığını görebilen kripto para işlem siparişlerini taklit etmek için onları silahlandırabilir.
Endişeye ek olarak, panzehir konnektörü, InboxSDK kullanan 90’dan fazla uzatmadan sadece bir tanesidir, yani diğer uzantılar aynı soruna duyarlıdır. Diğer uzantıların isimleri Symantec tarafından açıklanmadı.
Guo, “GA4 Analytics sırlarından Azure Konuşma Anahtarlarına ve AWS S3 kimlik bilgilerinden Google’a özgü jetonlara kadar, bu snippet’lerin her biri birkaç kod çizgisinin tüm hizmeti nasıl tehlikeye atabileceğini gösteriyor.” Dedi. “Çözüm: Hassas kimlik bilgilerini asla müşteri tarafında saklamayın.”
Geliştiricilerin veri gönderdiklerinde veya aldıklarında HTTPS’ye geçmeleri, kimlik bilgilerini bir kimlik bilgileri yönetimi hizmeti kullanarak bir arka uç sunucusunda güvenli bir şekilde depolamaları ve riski daha da en aza indirmek için sırları düzenli olarak döndürmeleri önerilir.
Bulgular, yüz binlerce kurulumla popüler uzantıların bile, sabit kodlu kimlik bilgileri gibi önemsiz yanlış yapılandırmalardan ve güvenlik blunders’ından nasıl muzdarip olabileceğini ve kullanıcıların verilerini risk altında bırakabileceğini göstermektedir.
“Bu uzantıların kullanıcıları, geliştiriciler güvensizliği ele geçirene kadar bunları çıkarmayı düşünmelidir [HTTP] “Şirket dedi.” Risk sadece teorik değil; Şifrelenmemiş trafiğin yakalanması kolaydır ve veriler profil oluşturma, kimlik avı veya diğer hedefli saldırılar için kullanılabilir. “
“Kapsayıcı ders, büyük bir kurulum tabanının veya tanınmış bir markanın şifreleme etrafında en iyi uygulamaları sağlamadığıdır. Kullanıcıların bilgilerinin gerçekten güvenli kalmasını sağlamak için kullandıkları protokoller ve paylaştıkları veriler için uzantılar incelenmelidir.”