Cyber Sécurité

Extensions chromées populaires fuites des clés d’API, des données utilisateur via HTTP et des informations d’identification codées en dur

Christophe
Christophe

05 juin 2025Ravie LakshmananSécurité du navigateur / sécurité en ligne

Les chercheurs en cybersécurité ont signalé plusieurs extensions populaires de Google Chrome qui ont été constatées pour transmettre des données dans les secrets HTTP et Hard-Code dans leur code, exposant les utilisateurs aux risques de confidentialité et de sécurité.

“Plusieurs extensions largement utilisées […] Transmettez involontairement des données sensibles sur un HTTP simple, “Yuanjing Guo, un chercheur en sécurité dans l’équipe de technologie de sécurité et de réponse de Symantec, a déclaré.” Ce faisant, ils exposent des domaines de navigation, des identifiants de machine, des détails du système d’exploitation, des analyses d’utilisation et même une désinstallation d’informations, en texte brut. “

Le fait que le trafic réseau ne soit pas crypté signifie également qu’ils sont sensibles aux attaques adverses dans le milieu (AITM), permettant aux acteurs malveillants sur le même réseau, comme un Wi-Fi public à intercepter et, pire encore, à modifier ces données, ce qui pourrait entraîner des conséquences beaucoup plus graves.

Cybersécurité

La liste des extensions identifiées est ci-dessous –

  • SEMRUSH RANK (ID d’extension: idbhoeaiokcojcgappfigpifhpkjgmab) et pi rank (id: ccgdboldgdlngcgfdolahmiilojmfndl), qui appelle l’url “rank.trellian[.]com “Over Plain http
  • Browsec VPN (ID: omghfjlpggmjjaagoclmmobgdodcjboh), qui utilise http pour appeler une URL de désinstallation à “Browsec-uninstall.s3-website.eu-central-1.amazonaws[.]com “Lorsqu’un utilisateur tente de désinstaller l’extension
  • MSN NOUVEAU TAB (ID: lklfbkdigihjaaeamncibechhgalldgl) et MSN HomePage, Bing Search & News (ID: Midiombanaceofjhodpdibeppmnamfcj), qui transmette un identifiant de machine unique et d’autres détails sur HTTP à “G.CeipMsn[.]com “
  • Dualsafe Password Manager & Digital Vault (ID: lgbjhdkjmpgjgcbcdlhkkkkkpjmedgc), qui construit une demande URL basée sur HTTP à “statists.itopupdate[.]com “ainsi que des informations sur la version d’extension, la langue du navigateur de l’utilisateur et l’utilisation” type “

“Bien que les informations d’identification ou les mots de passe ne semblent pas être divulgués, le fait qu’un gestionnaire de mots de passe utilise des demandes non cryptées de télémétrie érode la confiance dans sa posture de sécurité globale”, a déclaré Guo.

A LIRE AUSSI :  Microsoft poursuit un groupe de piratage qui exploite Azure AI pour créer du contenu nuisible

Symantec a déclaré avoir également identifié un autre ensemble d’extensions avec des clés, des secrets et des jetons API directement intégrés dans le code JavaScript, qu’un attaquant pourrait armé pour élaborer des demandes malveillantes et effectuer diverses actions malveillantes –

  • Extension de sécurité et de confidentialité en ligne (ID: gomekmidlodglbbmalcneegiEAcbdmki), AVG Security Online Security (nbmoafcmbbajniiapeidgficgifbfmjfo), speed cadran [FVD] – Nouvelle page d’onglet, 3d, sync (id: llaficoajjainaijghjlofdfmbjpebpa), et Sellersprite – Amazon Research Tool (id: lnbmbgocenenhhhdojdielgnmflbnfb), qui a exposé un indicateur de Google Analytics 4 (GA4) API Secret qu’un ATTADER a pu bombarder le point de vue de Google Analytic 4 (GA4) API Secret. métriques

  • Equatio – Math Made Digital (ID: hjngolefdpdnooamgdldlkjgmdcmcjnc), qui intégré une clé API Microsoft Azure utilisée pour la reconnaissance de la parole qu’un attaquant pourrait utiliser pour gonfler les coûts du développeur ou épuiser ses limites d’utilisation

  • Enregistreur d’écran génial et capture d’écran (ID: nlipoenfbbikpbjkfpfillcgkobblgpmj) et capture d’écran de capture d’écran et d’écran de défilement (ID: MFPIAEHGJBBFEDNOOIHADALHEHABHCJO), qui exposer les services Web d’Amazon du développeur (AWS) a utilisé pour UPLoading Toloadshots to Developer’s Amazon Services S3 Bucket).

  • Microsoft Editor – Spelling & Grammar Checker (ID: gpaioBkfhonedkhhfjpmhdalgeoebfa), qui expose une clé de télémétrie nommée “Statsapikey” pour enregistrer les données des utilisateurs pour l’analyse

  • Connecteur Antidote (ID: LMBOPDIIKKAMFPHHGCCKCJHOJNOKGFEO), qui intègre une bibliothèque tierce appelée InboxsDK qui contient des informations d’identification codées en dur, y compris les touches API.

  • Watch2gether (id: cimpffImgeipdhnhjohpbehjkcdpjolg), qui expose une touche API de recherche GIF TENOR

  • Trust Wallet (ID: egjidjbpglichdCondbcbdnbeeppgdph), qui expose une clé API associée au réseau de ramp

  • TravelArrow – Votre agent de voyages virtuel (ID: CoplmfnphahpcknbchcehdikbDieognn), qui expose une clé API de géolocalisation lors de la création de requêtes à “IP-API[.]com “

Les attaquants qui finissent par trouver ces clés pourraient les armer pour faire monter les coûts d’API, héberger du contenu illégal, envoyer des données de télémétrie usurpées et imiter les ordres de transaction de crypto-monnaie, dont certains pourraient voir l’interdiction du développeur être interdit.

A LIRE AUSSI :  Comment répandre les plates-formes de paris protéger les commerçants contre les cyber-risques

Ajoutant à la préoccupation, Antidote Connector n’est que l’une des plus de 90 extensions qui utilisent InboxSDK, ce qui signifie que les autres extensions sont sensibles au même problème. Les noms des autres extensions n’ont pas été divulgués par Symantec.

Cybersécurité

“Des secrets d’analyse GA4 aux clés de la parole Azure, et des informations d’identification AWS S3 aux jetons spécifiques à Google, chacun de ces extraits montre comment quelques lignes de code peuvent compromettre un service entier”, a déclaré Guo. “La solution: ne stockez jamais les informations d’identification sensibles du côté client.”

Les développeurs sont recommandés de passer à HTTPS chaque fois qu’ils envoient ou reçoivent des données, stockent les informations d’identification en toute sécurité dans un serveur backend à l’aide d’un service de gestion des informations d’identification et tournent régulièrement des secrets pour minimiser davantage les risques.

Les résultats montrent à quel point les extensions populaires avec des centaines de milliers d’installations peuvent souffrir de erreurs de configuration insignifiante et de bévues de sécurité comme des informations d’identification codées, laissant les données des utilisateurs en danger.

“Les utilisateurs de ces extensions devraient envisager de les supprimer jusqu’à ce que les développeurs s’adressent à l’insécurité [HTTP] Appels “, a déclaré la société.” Le risque n’est pas seulement théorique; Le trafic non crypté est simple à capturer, et les données peuvent être utilisées pour le profilage, le phishing ou d’autres attaques ciblées. “

“La leçon primordiale est qu’une grande base d’installation ou une marque bien connue ne garantit pas nécessairement les meilleures pratiques concernant le chiffrement.

Vous avez trouvé cet article intéressant? Suivez-nous Gazouillement et LinkedIn pour lire plus de contenu exclusif que nous publions.

Partager cet Article
Article Précédent L’un des pires ports du commutateur est extrêmement amélioré sur le commutateur 2
Article Suivant Jamf met l’IA dans la gestion des appareils Apple – Computerworld

Derniers Articles

Genai – Ami ou ennemi? – Computerworld
Intelligence artificielle Big Data
Microsoft augmente la sécurité par défaut des PC cloud Windows 365
Cyber Sécurité
Rune Factory: Guardians of Azuma Earth Dancer Edition réapprovisionné le jour de lancement
Les Meilleurs RPG / MMORPG et Jeux en Ligne
3 matchs avec lesquels nous nous balançons en été
Les Meilleurs RPG / MMORPG et Jeux en Ligne

Vous pourriez aussi aimer