Popularne Chrome ekstenzije otkrivaju API ključeve i korisničke podatke putem HTTP-a i hard-kodiranih kredencijala

Istraživači iz oblasti cyber sigurnosti upozoravaju na nekoliko popularnih Google Chrome ekstenzija koje prenose podatke putem nezaštićenog HTTP protokola i sadrže hard-kodirane tajne informacije u svom kodu, čime izlažu korisnike rizicima po privatnost i sigurnost.

„Nekoliko široko korištenih ekstenzija nenamjerno prenosi osjetljive podatke putem običnog HTTP-a,“ rekao je Yuanjing Guo, istraživač sigurnosti iz tima Symantec Security Technology and Response. „Na taj način se otkrivaju domeni koje korisnik posjećuje, ID mašine, detalji operativnog sistema, analitika korištenja i čak informacije o deinstalaciji — sve u običnom tekstu.“

Zbog toga što je saobraćaj nešifriran, ranjiv je na napade “napadača u sredini” (AitM). To znači da maliciozni hakeri na istoj mreži — poput javnog Wi-Fi-ja — mogu presresti pa čak i izmijeniti podatke, što može imati ozbiljnije posljedice.

Lista identifikovanih ekstenzija uključuje

• SEMRush Rank (ID: idbhoeaiokcojcgappfigpifhpkjgmab) i PI Rank (ID: ccgdboldgdlngcgfdolahmiilojmfndl) – pristupaju URL-u rank.trellian[.]com putem HTTP-a

• Browsec VPN (ID: omghfjlpggmjjaagoclmmobgdodcjboh) – koristi HTTP za pozivanje URL-a browsec-uninstall.s3-website.eu-central-1.amazonaws[.]com prilikom deinstalacije

• MSN New Tab (ID: lklfbkdigihjaaeamncibechhgalldgl) i MSN Homepage, Bing Search & News (ID: midiombanaceofjhodpdibeppmnamfcj) – šalju jedinstveni ID mašine i druge podatke preko HTTP-a ka g.ceipmsn[.]com

• DualSafe Password Manager & Digital Vault (ID: lgbjhdkjmpgjgcbcdlhkokkckpjmedgc) – koristi HTTP zahtjev ka stats.itopupdate[.]com sa informacijama o verziji ekstenzije, jeziku preglednika i tipu korištenja

„Iako lozinke nisu direktno kompromitovane, činjenica da jedan menadžer lozinki koristi nešifrovane zahtjeve za telemetriju ozbiljno narušava povjerenje u njegovu sigurnost,“ ističe Guo.

Dodatno, otkriven je i niz ekstenzija koje imaju API ključeve i tokene hard-kodirane unutar JavaScript koda, što napadač može iskoristiti za:

• slanje malicioznih zahtjeva
• zloupotrebu servisa
• korumpiranje podataka

Te ekstenzije uključuju

• Online Security & Privacy (ID: gomekmidlodglbbmalcneegieacbdmki),
  AVG Online Security (ID: nbmoafcmbajniiapeidgficgifbfmjfo),
  Speed Dial [FVD] – New Tab Page (ID: llaficoajjainaijghjlofdfmbjpebpa),
  SellerSprite – Amazon Research Tool (ID: lnbmbgocenenhhhdojdielgnmeflbnfb)
  → sadrže Google Analytics 4 (GA4) tajni API ključ koji može biti zloupotrijebljen za bombardovanje sistema i falsifikovanje metrika.

• Equatio – Math Made Digital (ID: hjngolefdpdnooamgdldlkjgmdcmcjnc)
  → sadrži Microsoft Azure API ključ za prepoznavanje govora, što bi moglo dovesti do visokih troškova za developera.

• Awesome Screen Recorder & Screenshot (ID: nlipoenfbbikpbjkfpfillcgkoblgpmj)
  Scrolling Screenshot Tool & Screen Capture (ID: mfpiaehgjbbfednooihadalhehabhcjo)
  → otkrivaju AWS pristupni ključ za upload screenshota na S3 bucket.

• Microsoft Editor – Spelling & Grammar Checker (ID: gpaiobkfhnonedkhhfjpmhdalgeoebfa)
  → sadrži “StatsApiKey” za telemetrijsku analitiku.

• Antidote Connector (ID: lmbopdiikkamfphhgcckcjhojnokgfeo)
  → koristi biblioteku InboxSDK koja uključuje hard-kodirane vjerodajnice, uključujući API ključeve.

• Watch2Gether (ID: cimpffimgeipdhnhjohpbehjkcdpjolg)
  → otkriva Tenor GIF API ključ.

• Trust Wallet (ID: egjidjbpglichdcondbcbdnbeeppgdph)
  → otkriva API ključ za Ramp Network, Web3 platformu za kripto transakcije.

• TravelArrow – Your Virtual Travel Agent (ID: coplmfnphahpcknbchcehdikbdieognn)
  → otkriva geolokacijski API ključ pri pozivima ka ip-api[.]com.

Napadači koji pronađu ove ključeve mogu ih iskoristiti za povećanje troškova API-ja, slanje lažnih telemetrijskih podataka, mimikriju kripto transakcija ili čak za distribuciju ilegalnog sadržaja – što može rezultirati banovanjem developera.

Dodatna zabrinutost:

Ekstenzija Antidote Connector je samo jedna od preko 90 ekstenzija koje koriste InboxSDK, što znači da je veliki broj drugih ekstenzija takođe ranjiv, iako njihova imena nisu objavljena.

Preporuke za developere

• Koristiti HTTPS za sve komunikacije
• Kredencijale čuvati na sigurnom backend serveru koristeći menadžer tajni
• Redovno rotirati API ključeve i tokene

„Od GA4 tajni do Azure ključeva za govor i AWS pristupnih ključeva, samo nekoliko linija koda može ugroziti cijeli servis,“ rekao je Guo.
„Rješenje je jednostavno: nikad ne čuvajte osjetljive podatke na klijentskoj strani.“

Zaključak

Ova otkrića pokazuju kako čak i popularne ekstenzije sa stotinama hiljada korisnika mogu imati ozbiljne sigurnosne propuste – uključujući korištenje nezaštićenog HTTP-a i hard-kodirane API ključeve.

„Korisnici bi trebali razmotriti uklanjanje ovih ekstenzija dok developeri ne isprave nesigurne HTTP pozive,“ navodi se.
„Rizik nije teoretski – nešifrirani saobraćaj je lako presresti, a podaci se mogu iskoristiti za profilisanje, phishing ili ciljanje napada.“

„Lekcija: popularnost i poznati brend ne znače nužno i sigurnu praksu. Ekstenzije treba provjeravati po tome kako rukuju podacima i koje protokole koriste.“

Izvor:The Hacker News