Популярні розширення Chrome викривають особисті дані через HTTP і жорстко закодовані ключі API — дослідження Symantec

Низка популярних розширень для Google Chrome передає конфіденційні дані у відкритому вигляді через HTTP і містить жорстко закодовані API-ключі, створюючи серйозні ризики для приватності та безпеки мільйонів користувачів.

Аналітики Symantec виявили, що деякі з найпопулярніших розширень для браузера Chrome передають особисту інформацію — як-от ID пристрою, домени, операційні системи, статистику видалення тощо — у незашифрованому HTTP-трафіку. Це робить їх вразливими до атак типу “людина посередині” (AitM), особливо в публічних Wi-Fi мережах.

Серед розширень, які викликають занепокоєння:

• Browsec VPN, що при видаленні передає дані через HTTP;
• MSN New Tab і DualSafe Password Manager, які передають дані телеметрії без шифрування;
• Trust Wallet, Equatio, SellerSprite та AVG Online Security, де в коді були знайдені відкриті API-ключі, зокрема до GA4, AWS, Azure та Ramp Network.

Багато з цих ключів можна використати для підробки телеметрії, накрутки витрат на хмарні сервіси або навіть підміни криптотранзакцій. Деякі розширення, як Antidote Connector, використовують сторонні бібліотеки з закодованими обліковими даними — таких виявлено понад 90.

Проблема неналежного зберігання секретів у браузерних розширеннях існує роками, однак широке використання, зокрема серед непрофесійних користувачів, робить її особливо небезпечною. Популярність не гарантує безпеки — навіть у великих брендів, як показує приклад Microsoft Editor.

Symantec радить негайно видалити уразливі розширення до виходу оновлень. Розробникам варто повністю перейти на HTTPS, зберігати ключі лише на захищених бекендах та регулярно їх змінювати. Для користувачів — варто ретельно перевіряти розширення, які мають доступ до даних і не покладатись на їхню популярність як гарантію безпеки.