Ai grijă la aceste extensii din Google Chrome – Pericolele la care te expui dacă nu ești atent
Mai multe extensii populare pentru Google Chrome transmit date prin conexiuni HTTP nesecurizate și conțin în cod chei API și tokenuri, expunând utilizatorii la riscuri majore de securitate.
Concret, vorbim despre sute de mii de instalări transmit date în clar prin conexiuni HTTP nesecurizate și includ în cod chei API, tokenuri și alte informații sensibile, potrivit unei analize publicate de Symantec, scrie publicația The Hacker News.
Printre extensiile vizate se numără SEMRush Rank, PI Rank, Browsec VPN, Microsoft Editor sau Trust Wallet, care trimit date precum ID-ul dispozitivului, sistemul de operare, limba browserului și altele, fără criptare.
Avertismentul cercetătorilor
Cercetătorul Yuanjing Guo avertizează că aceste informații pot fi interceptate de atacatori în rețele Wi-Fi publice, fiind expuse atacurilor de tip „adversary-in-the-middle”.
Unele extensii folosesc chei API hardcodate în JavaScript, cum ar fi chei pentru Google Analytics 4, Microsoft Azure, AWS S3 sau servicii de criptomonede.
Aceste chei pot fi utilizate de atacatori pentru a genera costuri mari pentru dezvoltatori, a trimite date false sau a găzdui conținut ilegal.
Printre extensiile cu probleme identificate de Symantec se numără:
DualSafe Password Manager – transmite date despre utilizator prin HTTP;
Speed Dial FVD și AVG Online Security – conțin chei GA4 hardcodate;
Equatio – include o cheie Azure pentru recunoaștere vocală;
Trust Wallet – expune o cheie asociată rețelei Ramp Network;
TravelArrow – trimite cereri geolocaționale printr-o cheie API la ip-api.com.
Deosebit de îngrijorător este că unele extensii, precum Antidote Connector, utilizează biblioteci externe (InboxSDK) care includ la rândul lor credențiale în codul sursă. Symantec estimează că peste 90 de extensii folosesc această bibliotecă, dar nu a dezvăluit lista completă.
Ce te sfătuiesc specialiștii să faci în aceste cazuri
În primul rând, evită tentația transmiterii de date prin HTTP. Păstrarea cheilor API ar trebui să fie pe servere sigure, nu în codul client.
De asemenea, rotirea periodică a credențialelor este o altă soluție care te poate feri de bătăi de cap.
Nu în ultimul rând, este bine să te gândești la eliminarea tuturor extensiilor până la remedierea problemelor.
„Un brand cunoscut sau un număr mare de instalări nu garantează bune practici de securitate”, avertizează cercetătorii, subliniind că aceste deficiențe pot fi exploatate pentru phishing, profilare sau atacuri direcționate.
