Команда исследователей из Symantec выявила серьезные проблемы безопасности в широко используемых расширениях для Google Chrome, которые ставят под угрозу конфиденциальные данные миллионов пользователей. Обнаруженные уязвимости связаны с передачей данных по незащищенному протоколу HTTP и небезопасным хранением секретных ключей прямо в коде расширений.
Основные типы выявленных уязвимостей
Аналитики обнаружили два критических типа угроз в популярных расширениях Chrome. Первая категория связана с передачей конфиденциальной информации через незашифрованные HTTP-соединения, что делает данные доступными для перехвата злоумышленниками.
Среди передаваемых в открытом виде данных исследователи выделили доменные имена, уникальные идентификаторы устройств, информацию об операционной системе, статистику использования и даже данные процедур деинсталляции. Отсутствие шифрования создает идеальные условия для атак типа «человек посередине» (man-in-the-middle), позволяя киберпреступникам не только перехватывать, но и модифицировать передаваемую информацию.
Конкретные примеры уязвимых расширений
В своем исследовании Symantec привела примеры конкретных расширений с критическими недостатками. Особое внимание уделено DualSafe Password Manager & Digital Vault — менеджеру паролей, который использует незашифрованные запросы для передачи телеметрических данных.
Хотя прямой утечки паролей не происходит, сам факт использования небезопасных методов передачи данных в продукте, предназначенном для защиты конфиденциальной информации, вызывает серьезные вопросы о надежности всей системы безопасности.
Проблема жестко закодированных секретов
Вторая категория угроз связана с хранением API-ключей, токенов доступа и других секретных данных непосредственно в коде расширений. Эксперты обнаружили более 90 расширений, использующих InboxSDK, включая Antidote Connector, которые содержат подобные уязвимости.
Среди скомпрометированных секретов были обнаружены ключи Google Analytics 4, учетные данные Azure, токены AWS S3 и различные API-ключи Google. Злоумышленники могут использовать эти данные для создания вредоносных запросов и выполнения мошеннических операций от имени легитимных сервисов.
Рекомендации по защите и устранению угроз
Для разработчиков расширений критически важен переход на использование протокола HTTPS для всех типов передачи данных. Конфиденциальные учетные данные должны храниться исключительно на защищенных серверных системах, а не в клиентском коде.
Регулярная ротация секретных ключей и токенов доступа поможет минимизировать потенциальный ущерб в случае компрометации. Внедрение принципов безопасной разработки должно стать стандартной практикой при создании браузерных расширений.
Практические шаги для пользователей
Пользователям рекомендуется временно удалить перечисленные расширения до устранения разработчиками выявленных проблем безопасности. Высокий рейтинг и популярность расширения не гарантируют соблюдение современных стандартов кибербезопасности.
Важно понимать, что выявленные угрозы не являются теоретическими — незашифрованный трафик легко перехватывается в публичных сетях Wi-Fi, корпоративных сетях и других потенциально скомпрометированных средах. Полученные таким образом данные могут использоваться для профилирования пользователей, фишинговых атак и других форм целевого воздействия.
Данное исследование подчеркивает критическую важность применения комплексного подхода к обеспечению безопасности браузерных расширений. Разработчики должны внедрять принципы безопасности на всех этапах создания продукта, а пользователи — проявлять осознанность при выборе и использовании дополнений для браузера, отдавая предпочтение решениям от проверенных разработчиков с прозрачными политиками безопасности.
