I ricercatori di Cybersecurity hanno contrassegnato numerous estensioni popolari di Google Chrome che sono state trovate per trasmettere i dati in HTTP e segreti a codice duro nel loro codice, esponendo gli utenti ai rischi per la privateness e la sicurezza.
“Various estensioni ampiamente utilizzate (…) trasmettono involontariamente dati sensibili su un semplice HTTP”, Yuanjing Guo, un ricercatore di sicurezza nel crew di tecnologia e risposta di sicurezza di Symantec, disse. “In tal modo, espongono domini di navigazione, ID macchina, dettagli del sistema operativo, analisi di utilizzo e persino disinstallare le informazioni, in chiaro.”
Il fatto che il traffico di rete non sia crittografato significa anche che sono suscettibili agli attacchi di avversario-in-the-middle (AITM), consentendo attori dannosi sulla stessa rete come un Wi-Fi pubblico per intercettare e, peggio ancora, modificare questi dati, il che potrebbe portare a conseguenze molto più gravi.
L’elenco delle estensioni identificate è di seguito –
- Rango semrush (ID di estensione: Idbhoeaiokcojcgappfigpifhpkjgmab) e Pi rank (ID: ccgdboldgdlngcgfdolahmiilojmfndl), che chiamano URL “Rank.trellian (.) Com” su semplice http http
- Browsec vpn (ID: omghfjlpggmjjaagoclMobgdodcjboh), che utilizza http per chiamare un URL di disinstallazione a “Browsec-uninstall.s3-website.eu-central-1.Amazonaws (.) Com” quando un utente tenta di non integrare l’estensione dell’estensione
- MSN Nuova scheda (ID: lklfbkdigihjaaeamncibechhgallgl) e homepage di msn, bing search & information (ID: midiombanaceofjhodpdibeppmnamfcj), che trasmettono un identificatore di macchine univoco e altri dettagli su Http a “G.ceipmsn (.) Com” com “.
- Dualsafe Password Supervisor e Digital Vault (ID: LGBJHDKJMPGJGCBCDLHKKCKPJMEDGC), che costruisce una richiesta URL basata su HTTP a “stats.itopupdate (.) Com” insieme alle informazioni sulla versione di estensione, il linguaggio del browser dell’utente e l’utilizzo “
“Sebbene le credenziali o le password non sembrino trapelare, il fatto che un gestore di password utilizzi richieste non crittografate per la telemetria erode la fiducia nella sua posizione di sicurezza complessiva”, ha affermato Guo.
Symantec lo ha detto anche identificato Un’altra serie di estensioni con chiavi API, segreti e token direttamente incorporati nel codice JavaScript, che un utente malintenzionato potrebbe armare per creare richieste dannose e svolgere varie azioni dannose –
- Estensione di sicurezza e privateness on-line (ID: gomekmidlodglbMalcneegieacbdmki), avg on-line di sicurezza (ID: nbmoafcmbajniiapeidggifgifbfmjfo), Pace Dial (fvd) – Nuova tab Web page, 3d, sync (id: llaficoajjanaijghjlofMBPA), e svendite – sashersPiTe. Strumento di ricerca (ID: LNBMBgocenenhhhdojdielgnmeflbnfb), che espongono un segreto API di Google Analytics 4 (GA4) che un attaccante potrebbe usare per bombardare l’endpoint GA4 e le metriche corrotte
- Equatio – matematica fatta digitale (ID: Hjngolefdpdnoooamgdldlkjgmdcmcjnc), che incorpora una chiave API Microsoft Azure utilizzata per il riconoscimento vocale che un aggressore potrebbe usare per gonfiare i costi dello sviluppatore o esaurire i loro limiti di utilizzo
- Fantastico registratore dello schermo e screenshot (ID: Nlipoenfbbikpbjkfpfillcgkoblgpmj) e strumento di schermatura e cattura dello schermo (ID: mfpiaehgjbbfednooihadalhehabhcjo), che espongono il tasto Amazon Internet Companies (AWS) dello sviluppatore utilizzato per girare gli schermi a Svilupper S3 Bucket dello Sviluppatore di S3
- Microsoft Editor – Spelling & Grammar Checker (ID: gpaiobkfhnonedkhhfjpmhdalgeoebfa), che espone una chiave di telemetria denominata “statsapikey” per registrare i dati degli utenti per l’analisi
- Connettore antidoto (ID: lmbopdiikkamfphhgcckcjhojnokgfeo), che incorpora una libreria di terze parti chiamata Inboxsdk che contiene credenziali codificate, comprese le chiavi API.
- Watch2Gether (ID: cimpffimgeipdhnhjohpbehjkcdpjolg), che espone una chiave API di ricerca GIF tenore
- Fidati del portafoglio (ID: EGJIDJBPGLICHDCONDBCBDNBEEPPGDPH), che espone una chiave API associata alla rete RAMP, una piattaforma Web3 che offre agli sviluppatori di portafogli un modo per consentire agli utenti di acquistare o vendere cripto direttamente dall’app
- Travelarrow -Il tuo agente di viaggio virtuale (ID: coplmfnphahpckkchcehdikbdieognn), che espone una chiave API di geolocalizzazione quando si effettua question a “ip-api (.) Com”
Gli aggressori che finiscono per trovare queste chiavi potrebbero armonizzarli per aumentare i costi dell’API, ospitare contenuti illegali, inviare dati di telemetria falsificati e imitare gli ordini di transazione di criptovaluta, alcuni dei quali potrebbero vedere il divieto dello sviluppatore essere bandito.
Aggiungendo alla preoccupazione, il connettore antidoto è solo una delle oltre 90 estensioni che utilizzano la casella di posta, il che significa che le altre estensioni sono suscettibili allo stesso problema. I nomi delle altre estensioni non sono stati divulgati da Symantec.
“Dai segreti di analisi Ga4 alle chiavi vocali di Azure e dalle credenziali di AWS S3 ai token specifici di Google, ognuno di questi frammenti dimostra come alcune righe di codice possono compromettere un intero servizio”, ha detto Guo. “La soluzione: non archiviare mai le credenziali sensibili sul lato shopper.”
Si consiglia agli sviluppatori di passare a HTTPS ogni volta che inviano o ricevono dati, memorizzano le credenziali in modo sicuro in un server di backend utilizzando un servizio di gestione delle credenziali e ruotare regolarmente i segreti per ridurre al minimo il rischio.
I risultati mostrano come anche le estensioni popolari con centinaia di migliaia di installazioni possano soffrire di banali errate configurazioni e errori di sicurezza come credenziali codificate, lasciando a rischio i dati degli utenti.
“Gli utenti di queste estensioni dovrebbero considerare di rimuoverli fino a quando gli sviluppatori non affrontano le chiamate insicure (HTTP)”, ha affermato la società. “Il rischio non è solo teorico; il traffico non crittografato è semplice da catturare e i dati possono essere utilizzati per la profilazione, il phishing o altri attacchi mirati.”
“La lezione generale è che una grande base di installazione o un marchio ben noto non garantisce necessariamente le migliori pratiche sulla crittografia. Le estensioni dovrebbero essere esaminate per i protocolli che utilizzano e i dati che condividono, per garantire che le informazioni degli utenti rimangono veramente sicure.”
