Фахівці компанії Symantec оприлюднили результати масштабного дослідження безпеки браузерних розширень для Google Chrome, яке розкрило критичні вразливості у популярних додатках. Виявлені недоліки створюють серйозні ризики для конфіденційності персональних даних мільйонів користувачів по всьому світу.
Двокатегорійна класифікація виявлених загроз
Експерти з кібербезпеки ідентифікували дві основні категорії критичних уразливостей у досліджуваних розширеннях. Перша група проблем пов’язана з використанням незахищеного HTTP-протоколу для передачі конфіденційної інформації, що робить дані вразливими для перехоплення зловмисниками.
Аналіз показав, що через незашифровані канали передаються доменні імена, унікальні ідентифікатори пристроїв, дані про операційну систему, статистика використання та інформація про процедури видалення програм. Відсутність шифрування створює сприятливі умови для атак типу “людина посередині” (MITM-атаки), дозволяючи кіберзлочинцям не лише перехоплювати, але й модифікувати передавані дані.
Аналіз конкретних випадків порушення безпеки
У рамках дослідження було детально проаналізовано декілька розширень з критичними недоліками безпеки. Особливу увагу привернув DualSafe Password Manager & Digital Vault – менеджер паролів, який використовує незашифровані запити для відправки телеметричних даних на сервери розробника.
Незважаючи на те, що безпосередньої витоки паролів не відбувається, використання небезпечних методів передачі даних у продукті, призначеному для захисту конфіденційної інформації, ставить під сумнів надійність усієї архітектури безпеки додатка.
Проблематика вбудованих секретних ключів
Друга категорія виявлених уразливостей стосується зберігання API-ключів, токенів доступу та інших критично важливих секретів безпосередньо у вихідному коді розширень. Дослідники виявили понад 90 розширень, що використовують InboxSDK, включаючи Antidote Connector, які містять подібні проблеми безпеки.
Серед скомпрометованих секретних даних були знайдені ключі Google Analytics 4, облікові дані Microsoft Azure, токени Amazon Web Services S3 та різноманітні API-ключі Google сервісів. Ці дані можуть бути використані зловмисниками для створення шкідливих запитів та виконання fraudulent операцій від імені легітимних сервісів.
Технічні рекомендації для розробників
Для усунення виявлених проблем розробникам розширень необхідно обов’язково перейти на використання HTTPS-протоколу для всіх типів передачі даних. Конфіденційні облікові дані та секретні ключі повинні зберігатися виключно на захищених серверних системах з обмеженим доступом.
Регулярна ротація API-ключів і токенів доступу допоможе мінімізувати потенційні збитки у випадку компрометації системи. Впровадження принципів Secure Development Lifecycle (SDL) має стати обов’язковою практикою при розробці браузерних розширень.
Практичні кроки для захисту користувачів
Користувачам настійно рекомендується тимчасово видалити згадані у дослідженні розширення до моменту усунення розробниками виявлених проблем безпеки. Висока популярність та позитивні відгуки не гарантують дотримання сучасних стандартів інформаційної безпеки.
Важливо розуміти, що виявлені загрози мають реальний характер – незашифрований трафік легко перехоплюється у публічних Wi-Fi мережах, корпоративних середовищах та інших потенційно скомпрометованих інфраструктурах. Отримані таким чином дані можуть використовуватися для профілювання користувачів, фішингових атак та інших форм цільового кіберпереслідування.
Результати цього дослідження підкреслюють критичну важливість застосування комплексного підходу до забезпечення безпеки браузерних розширень. Розробники повинні інтегрувати принципи Security by Design на всіх етапах життєвого циклу продукту, а користувачі – демонструвати свідомий підхід при виборі та використанні браузерних додатків, віддаючи перевагу рішенням від перевірених розробників з прозорими політиками безпеки та регулярними оновленнями.
