نشت کلیدهای API و داده‌های کاربران از طریق افزونه‌های محبوب Chrome

Symantec گزارش داد که چندین افزونه از افزونه‌های محبوب Google Chrome به دلیل ارسال داده‌ها از طریق HTTP و استفاده از کلیدهای مخفی هاردکدشده در کد، کاربران را در معرض خطرات امنیتی و حریم خصوصی قرار داده‌اند. این افزونه‌ها داده‌های حساسی مانند دامنه‌های مرورگر، شناسه‌های دستگاه، جزئیات سیستم‌عامل، تحلیل داده های استفاده شده و اطلاعات حذف افزونه را به‌صورت متن ساده منتقل می‌کنند.

Symantec هشدار داد که ترافیک رمزنگاری‌نشده این افزونه‌ها در برابر حملات نفوذگر در میانه ارتباط (AitM) آسیب‌پذیر است، به‌طوری که مهاجمان در شبکه‌های عمومی مانند Wi-Fi می‌توانند این داده‌ها را رهگیری یا حتی تغییر دهند، که ممکن است به عواقب جدی منجر شود.

افزونه‌های آسیب‌پذیر

افزونه‌های شناسایی‌شده عبارت‌اند از:

• SEMRush Rank و PI Rank، که از HTTP برای فراخوانی rank.trellian[.]com استفاده می‌کنند.
• Browsec VPN، که هنگام حذف افزونه، به HTTP در آدرس browsec-uninstall.s3-website.eu-central-1.amazonaws[.]com متصل می‌شود.
• MSN New Tab و “MSN Homepage, Bing Search & News”، که شناسه دستگاه و سایر جزئیات را از طریق HTTP به g.ceipmsn[.]com ارسال می‌کنند.
• “DualSafe Password Manager & Digital Vault”، که درخواست‌های HTTP به stats.itopupdate[.]com با اطلاعات نسخه افزونه، زبان مرورگر و نوع استفاده ارسال می‌کند.

Symantec تأکید کرد که استفاده از درخواست‌های رمزنگاری‌نشده توسط یک برنامه مدیر رمز عبور، اعتماد به امنیت کلی آن را تضعیف می‌کند، اگرچه رمزهای عبور مستقیما افشا نشده باشند.

کلیدهای API هاردکدشده

Symantec همچنین افزونه‌هایی را شناسایی کرد که کلیدهای API، رمزها و توکن‌ها را به طور مستقیم در کد JavaScript خود جاسازی کرده‌اند، که مهاجمان می‌توانند از آن‌ها برای ساخت درخواست‌های مخرب استفاده کنند:

• Online Security & Privacy، AVG Online Security، Speed Dial و SellerSprite، که کلید مخفی Google Analytics 4 (GA4) را افشا می‌کنند و امکان آلوده‌سازی اندپوینت‌ها را فراهم می‌کنند.
• Equatio، که کلید Microsoft Azure برای تشخیص گفتار را جاسازی کرده و می‌تواند هزینه‌های توسعه‌دهنده را افزایش دهد.
• Awesome Screen Recorder & Screenshot و Scrolling Screenshot Tool & Screen Capture، که کلید دسترسی AWS برای بارگذاری تصاویر در S3 را افشا می‌کنند.
• Microsoft Editor، که کلید تله‌متری StatsApiKey را برای ثبت داده‌های کاربر افشا می‌کند.
• Antidote Connector، که از کتابخانه InboxSDK با کلیدهای API و اطلاعات کاربری هاردکدشده استفاده می‌کند.
• Watch2Gether، که کلید API جستجوی Tenor GIF را افشا می‌کند.
• Trust Wallet، که کلید API مرتبط با Ramp Network را برای تراکنش‌های رمزارز افشا می‌کند.
• TravelArrow، که کلید API موقعیت‌یابی را در درخواست به ip-api[.]com افشا می‌کند.

Symantec هشدار داد که مهاجمان می‌توانند از این کلیدها برای افزایش هزینه‌های API، میزبانی محتوای غیرقانونی، ارسال داده‌های تله‌متری جعلی یا شبیه‌سازی تراکنش‌های رمزارز استفاده کنند، که ممکن است به محرومیت توسعه‌دهندگان منجر شود. بیش از ۹۰ افزونه دیگر که از InboxSDK استفاده می‌کنند نیز ممکن است آسیب‌پذیر باشند.

توصیه‌های امنیتی

Symantec به توسعه‌دهندگان توصیه کرد که از HTTPS برای انتقال داده‌ها استفاده کنند، کلیدها را در سرورهای backend با سرویس مدیریت امن ذخیره کنند و کلیدها را به‌صورت دوره‌ای تغییر دهند. این شرکت به کاربران پیشنهاد کرد که تا رفع مشکلات HTTP، این افزونه‌ها را حذف کنند؛ زیرا ترافیک رمزنگاری‌نشده به‌راحتی قابل رهگیری است و می‌تواند برای پروفایل‌سازی، فیشینگ یا حملات هدفمند استفاده شود.

Symantec تأکید کرد که تعداد نصب بالا یا برند معتبر، تضمینی برای رعایت بهترین روش‌های رمزنگاری نیست و افزونه‌ها باید از نظر پروتکل‌ها و داده‌های ارسالی بررسی شوند.

منابع: