Chrome插件安全警报：微软、AVG等知名应用曝出重大漏洞，你的隐私或在“裸奔”！

原创 Hankzheng 技术修道场 2025-06-09 09:00

引子：你在咖啡馆上网，它在背后“出卖”你

想象一下：你正坐在咖啡馆，连着公共Wi-Fi，屏幕上的Chrome浏览器里，那些熟悉的插件图标让你倍感安心——VPN保护着你的网络，截图工具随时待命，语法检查器帮你完善文案。但你不知道的是，赛门铁克的一份最新报告指出，这些看似忠诚的“数字仆人”，很可能正在你背后，用最原始、最不设防的方式，向整个网络广播你的秘密。

风险一：用“明信片”通信，你的隐私正在“裸奔”

报告揭露的第一个致命问题，是部分插件仍在使用古老的、未加密的HTTP协议
传输数据。

这相当于你和朋友的所有通信，包括你的家庭住址、兴趣爱好和私人行程，全都写在明信片上公开邮寄。在公共Wi-Fi这种“邮路”上，任何人都能轻易偷看，甚至篡改。

黑客可以轻松截获你的浏览记录、电脑ID等信息，构建你的用户画像，对你进行精准诈骗。

“高危裸奔”插件包括：
– DualSafe Password Manager：
 一款本该最注重安全的密码管理器，却在明文发送数据。

• Browsec VPN / SEMRush Rank：
   在用户卸载或查询时，通过HTTP暴露用户行为。

• MSN New Tab / MSN Homepage (微软出品)：
   同样通过HTTP发送包含你机器唯一标识符的数据。

风险二：把“银行卡和密码”，直接刻在脑门上

如果说HTTP是愚蠢，那第二个问题——“硬编码凭证”
——简直就是疯狂。一些开发者将服务的API密钥、云存储的访问密码等最高权限的凭证，直接写在了插件的前端代码里。

这无异于一个人把自家银行卡的卡号和密码，工工整整地刻在了自己的脑门上，然后大摇大摆地去逛街。

攻击者一旦拿到这些“万能钥匙”，后果不堪设想：
– Awesome Screenshot (截图工具)：
 泄露了AWS密钥。攻击者可以花着开发者的钱，用开发者的服务器，上传任何非法内容
，最终导致开发者倾家荡产、服务被封。

• Trust Wallet (加密钱包)：
   泄露了关联的Web3平台API密钥，可能被用于伪造加密货币交易订单
  ，直接威胁用户资产。

• Equatio (数学公式插件)：
   泄露了微软Azure API密钥，攻击者可恶意消耗其语音识别服务，导致开发者账单爆炸
  。

• AVG Online Security、Microsoft Editor (微软编辑器)
   等大厂产品同样榜上有名。

警报升级：一个SDK引发的“连环地雷”

最令人担忧的是，这种风险还会通过“软件供应链”传播。报告点名一款名为Antidote Connector的插件，其问题源于它使用了一个叫InboxSDK的第三方库，而这个库本身就硬编码了凭证。

这意味着，使用了这个InboxSDK库的所有插件，都存在同样的问题。赛门铁克指出，这样的插件超过90个！
 这是一个巨大的、潜伏的“雷区”，你安装的某个小众插件，可能因为引用了一个有问题的“零件”，而变成了定时炸弹。

用户自救：三步安全自查“傻瓜指南”

在开发者修复问题前，我们必须自己行动起来。“大厂出品”已不再是安全保证。

第一步：打开插件管理页面

在Chrome浏览器地址栏输入 chrome://extensions
 并回车。

第二步：开启“开发者模式”查看ID

在页面右上角，找到并打开“开发者模式”的开关。此时，每个插件下方都会显示一长串由字母组成的“ID”。

第三步：核对高危名单并卸载

对照本文提到的插件名称和ID（可在原文中查找），如果发现你安装了榜上有名的插件，请毫不犹豫地点击“删除”按钮，将其卸载，直到开发者发布明确的安全更新为止。

你的数字安全，终究要靠自己

这起事件给我们敲响了最响亮的警钟：在数字世界，便利与风险永远是一体两面。不要盲目信任任何品牌，无论是大是小。保持警惕，定期审查，主动清理，才是我们在复杂网络环境中保护自己的不二法门。从现在开始，去检查一下你的浏览器吧。