Los investigadores de ciberseguridad han impresionado varias extensiones populares de Google Chrome que se ha antagónico que transmiten datos en HTTP y secretos de código duro en su código, exponiendo a los usuarios a los riesgos de privacidad y seguridad.
“Varias extensiones ampliamente utilizadas (…) transmiten involuntariamente datos confidenciales a través de HTTP simple”, dijo Yuanjing Guo, investigador de seguridad en el equipo de tecnología y respuesta de seguridad de Symantec. “Al hacerlo, exponen dominios de navegación, ID de máquina, detalles del sistema eficaz, observación de uso e incluso información desinstalada, en texto sin formato”.
El hecho de que el tráfico de la red no se cifre incluso significa que son susceptibles a los ataques adversarios en el medio (AITM), lo que permite a los actores maliciosos en la misma red, como un Wi-Fi sabido para interceptar y, peor, modificar estos datos, lo que podría conducir a consecuencias mucho más graves.
La tira de extensiones identificadas está a continuación –
- Rango de semrush (ID de extensión: Idbhoeaiokcojcgappfigpifhpkjgmab) y Pi rank (id: ccgdboldgdlngcgfdolahmiilOjmfndl), que claridad la url “rank.trellian (.) Com” sobre http simple
- BROWSEC VPN (ID: OMGHFJLPGGMJJAAGOCLMMOBGDODCJBOH), que usa HTTP para apetecer a una URL de desinstalación en “Browsec-Uninstall.S3-Website.eu-Central-1.Amazonaws (.) Com” cuando un agraciado intenta una incrustación de la extensión Extensión
- Pestaña MSN nueva (ID: LKLFBKDIGIHJAAEAMNCIBECHHGALLDGL) y MSN Home Page, Bing Search & News (ID: MidiombanaceOfjHodpDiBeppmnamfcj), que transmite un identificador de máquina único y otros detalles a través de HTTP a “G.CEIPMSN (.) Com”
- Administrador de contraseñas dualsafe y cúpula digital (ID: LGBJHDKJMPGJGCBCDLHKKKKCKPJMEDGC), que construye una solicitud de URL basada en HTTP a “stats.itOpupdate (.) Com” conexo con información sobre la lectura de extensión, el habla del navegador del agraciado y el uso de “Tipo” de uso “
“Aunque las credenciales o contraseñas no parecen filtrarse, el hecho de que un administrador de contraseñas utiliza solicitudes de telemetría no cifradas erosiona la confianza en su postura de seguridad militar”, dijo Guo.
Symantec dijo que incluso identificó otro conjunto de extensiones con claves API, secretos y tokens directamente incrustados en el código de JavaScript, que un atacante podría dotar para crear solicitudes maliciosas y tolerar a límite varias acciones maliciosas,
- Extensión de seguridad y privacidad en recorrido (Id: gomekmidlodglbbmalcneegieAcbdmki), AVG Security Online (ID: NBMOAFCMBAJNIIAPEIDGFICGIFBFMJFO), Speed dial (fvd) – nueva página de pestañas, 3D, Sync (ID: LlaficoajjainaiJghjlofdfmbJpEBEBPEBPA Utensilio de investigación (ID: LNBMBGOCENENHHHDOJDIELGNMEFLBNFB), que expone un secreto de la API de Google Analytics 4 (GA4) codificada que un atacante podría usar para hostigar el punto final de GA4 y las métricas corruptas
- Equatio – Matemáticas Made Digital (ID: hjngolefdpdnooamgdldlkjgmdcmcjnc), que incrusta una secreto de la API de Microsoft Azure utilizada para el agradecimiento de voz que un atacante podría usar para inflar los costos del desarrollador o agotar sus límites de uso
- Registro de pantalla impresionante y captura de pantalla (ID: nlipoenfbbikpbjkfpfillcgkoblgpmj) y desplazamiento de la utensilio de captura de pantalla y captura de pantalla (ID: mfpiaehgjbbbfednooihadalhehabhcjo), que expone la secreto de paso de paso (AWS) del desarrollador (AWS) utilizada para cargar las capturas de pantalón a las pantallas de pantalla de las pantallas de pantalla de las pantallas de pantalla del desarrollador del desarrollador del desarrollador.
- Editor de Microsoft – Refector de ortografía y gramática (ID: Gpaiobkfhnonedkhhfjpmhdalgeoebfa), que expone una secreto de telemetría llamamiento “statsapikey” para registrar datos de agraciado para analíticos
- Conector contraveneno (ID: LMBOPDIIKKAMFPHHGCCKCJHOJNOKGFEO), que incorpora una biblioteca de terceros llamamiento INBOXSDK que contiene credenciales codificadas, incluidas las teclas API.
- Watch2gether (ID: cimpffimgeipdhnhjohpbehjkcdpjolg), que expone una tecla API de búsqueda de tenor GIF
- Billetera de confianza (ID: egjidjbpglichdcondbcbdnbeppgdph), que expone una secreto API asociada con la red RAMP, una plataforma Web3 que ofrece a los desarrolladores de billetera una forma de permitir que los usuarios compraran o traicionar cripto directamente desde la aplicación
- Alucinación de alucinación -Su agente de viajes imaginario (ID: COPLMFNPHAHPCKNBCHCEHDIKBDIEOGNN), que expone una secreto de API de geolocalización al hacer consultas a “IP-API (.) Com”
Los atacantes que terminan encontrando estas claves podrían armarse para aumentar los costos de API, encajar contenido ilegal, cursar datos de telemetría falsificados e imitar las órdenes de transacción de criptomonedas, algunas de las cuales podrían ver que la prohibición del desarrollador se prohíbe.
Por otra parte de la preocupación, el conector contraveneno es solo una de las más de 90 extensiones que usan INBOXSDK, lo que significa que las otras extensiones son susceptibles al mismo problema. Symantec no reveló los nombres de las otras extensiones.
“Desde los secretos de observación de GA4 hasta las claves de deje Azure, y desde las credenciales de AWS S3 hasta los tokens específicos de Google, cada uno de estos fragmentos demuestra cómo algunas líneas de código pueden poner en peligro un servicio completo”, dijo Guo. “La opción: nunca almacene credenciales confidenciales en el costado del cliente”.
Se recomienda a los desarrolladores que cambien a HTTPS siempre que envíen o reciban datos, almacenan credenciales de forma segura en un servidor de backend utilizando un servicio de empresa de credenciales y gire regularmente secretos para minimizar aún más el aventura.
Los hallazgos muestran cómo incluso las extensiones populares con cientos de miles de instalaciones pueden sufrir de configuraciones erróneas triviales y errores de seguridad como credenciales codificadas, dejando en aventura los datos de los usuarios.
“Los usuarios de estas extensiones deben considerar eliminarlos hasta que los desarrolladores aborden las llamadas inseguras (HTTP)”, dijo la compañía. “El aventura no es solo teórico; el tráfico no oculto es factible de capturar, y los datos se pueden usar para perfilar, phishing u otros ataques específicos”.
“La consejo militar es que una gran almohadilla de instalación o una marca adecuadamente conocida no garantiza necesariamente las mejores prácticas en torno al oculto. Las extensiones deben analizarse para los protocolos que usan y los datos que comparten, para respaldar que la información de los usuarios siga siendo verdaderamente segura”.
