Низка популярних розширень для Google Chrome передає конфіденційні дані у відкритому вигляді через HTTP і містить жорстко закодовані API-ключі, створюючи серйозні ризики для приватності та безпеки мільйонів користувачів.
Аналітики Symantec виявили, що деякі з найпопулярніших розширень для браузера Chrome передають особисту інформацію — як-от ID пристрою, домени, операційні системи, статистику видалення тощо — у незашифрованому HTTP-трафіку. Це робить їх вразливими до атак типу “людина посередині” (AitM), особливо в публічних Wi-Fi мережах.
Серед розширень, які викликають занепокоєння:
Багато з цих ключів можна використати для підробки телеметрії, накрутки витрат на хмарні сервіси або навіть підміни криптотранзакцій. Деякі розширення, як Antidote Connector, використовують сторонні бібліотеки з закодованими обліковими даними — таких виявлено понад 90.
Проблема неналежного зберігання секретів у браузерних розширеннях існує роками, однак широке використання, зокрема серед непрофесійних користувачів, робить її особливо небезпечною. Популярність не гарантує безпеки — навіть у великих брендів, як показує приклад Microsoft Editor.
Symantec радить негайно видалити уразливі розширення до виходу оновлень. Розробникам варто повністю перейти на HTTPS, зберігати ключі лише на захищених бекендах та регулярно їх змінювати. Для користувачів — варто ретельно перевіряти розширення, які мають доступ до даних і не покладатись на їхню популярність як гарантію безпеки.
