【安全圈】热门 Chrome 扩展陷 HTTP 和硬编码密钥双重漏洞
【安全圈】热门 Chrome 扩展陷 HTTP 和硬编码密钥双重漏洞
安全圈 2025-06-07 11:00
关键词
漏洞
网络安全研究人员发现多款热门谷歌Chrome扩展存在严重安全隐患:通过HTTP明文传输数据并在代码中硬编码密钥,导致用户隐私与安全面临风险。
赛门铁克安全技术响应团队研究员指出:“数款广泛使用的扩展通过未加密的HTTP协议传输敏感数据,以明文形式暴露浏览域名、设备ID、操作系统信息、使用分析数据乃至卸载记录。”
这种未加密的网络流量使其极易遭受中间人攻击(AitM)。恶意攻击者可在公共Wi-Fi等开放网络中拦截甚至篡改数据,引发更严重后果。以下为存在风险的扩展清单:
HTTP传输漏洞扩展
*- *SEMRush Rank
(ID: idbhoeaiokcojcgappfigpifhpkjgmab)与PI Rank
(ID: ccgdboldgdlngcgfdolahmiilojmfndl):通过HTTP调用“rank.trellian[.]com”
-
Browsec VPN
(ID: omghfjlpggmjjaagoclmmobgdodcjboh):卸载时通过HTTP访问卸载链接 -
MSN新标签页
(ID: lklfbkdigihjaaeamncibechhgalldgl)与MSN主页、必应搜索与新闻
(ID: midiombanaceofjhodpdibeppmnamfcj):通过HTTP向“g.ceipmsn[.]com”发送设备唯一标识符 -
DualSafe密码管理器与数字保险库
(ID: lgbjhdkjmpgjgcbcdlhkokkckpjmedgc):向“stats.itopupdate[.]com”发送含扩展版本、浏览器语言等信息的HTTP请求
研究人员特别指出:“密码管理器使用未加密请求传输遥测数据,严重削弱用户对其安全性的信任。”
硬编码密钥风险扩展
*- *Online Security & Privacy
(ID: gomekmidlodglbbmalcneegieacbdmki)、AVG Online Security
(ID: nbmoafcmbajniiapeidgficgifbfmjfo)等:暴露Google Analytics 4密钥,攻击者可伪造数据推高分析成本
-
Equatio数学工具
(ID: hjngolefdpdnooamgdldlkjgmdcmcjnc):嵌入Azure语音识别API密钥,可能导致开发者服务费用激增 -
Awesome截屏工具
(ID: nlipoenfbbikpbjkfpfillcgkoblgpmj)等:泄露AWS S3访问密钥,攻击者可非法上传文件 -
Microsoft Editor编辑器
(ID: gpaiobkfhnonedkhhfjpmhdalgeoebfa):暴露遥测密钥“StatsApiKey” -
Antidote Connector
(ID: lmbopdiikkamfphhgcckcjhojnokgfeo):第三方库InboxSDK含硬编码API密钥(影响超90款扩展) -
Trust Wallet钱包
(ID: egjidjbpglichdcondbcbdnbeeppgdph):泄露法币通道API密钥,可伪造加密货币交易
攻击者利用这些密钥可能造成API服务费用暴涨、托管非法内容、伪造遥测数据等后果,甚至导致开发者账户被封禁。
研究人员强调:“从GA4密钥到Azure语音密钥,这些案例证明几行代码足以危及整个服务。核心解决方案是永远不要在客户端存储敏感凭证。”开发者应采取三项关键措施:
1. 全面启用HTTPS数据传输
-
通过凭证管理服务在后端服务器安全存储密钥
-
定期轮换密钥以降低风险
赛门铁克警告用户:“此类风险绝非理论假设——未加密流量极易被截获,数据可能用于用户画像分析、钓鱼攻击等定向攻击。建议立即卸载存在不安全调用的扩展程序,直至开发者完成修复。”该事件揭示关键教训:安装量或品牌知名度无法等同于安全实践水平,用户需严格审查扩展程序的协议类型与数据共享行为。
END
阅读推荐
【安全圈】阿里云 aliyuncs.com 域名故障导致全国网站访问异常
【安全圈】智能车配“弱密码”?汽车行业数字安全仍靠“123456”
【安全圈】黑吃黑!Sakura RAT 事件揭示黑客如何反过来“猎杀”黑客
【安全圈】暗网惊现近940亿被盗Cookie,15.6亿仍活跃,用户隐私岌岌可危
安全圈
←扫码关注我们
网罗圈内热点 专注网络安全
实时资讯一手掌握!
好看你就分享 有用就点个赞
支持「安全圈」就点个三连吧!