Los investigadores de ciberseguridad han marcado varias extensiones populares de Google Chrome que se sabe que envían datos a través de HTTP y envían secretos de código duro en el código, lo que pone a los usuarios en riesgos de privacidad y seguridad.
«Algunas extensiones ampliamente utilizadas (…) envían datos confidenciales a través de HTTP simple», dijo Yuanjing Guo, investigador de seguridad del equipo de tecnología y respuesta de seguridad de Symantec. «Al hacerlo, puede publicar su dominio de navegación, ID de máquina, detalles del sistema operativo, análisis de uso e incluso información en texto plano».
El hecho de que el tráfico de la red no esté encriptado significa que son susceptibles a los ataques intermedios (AITM), lo que permite a los actores maliciosos en la misma red, como Wi-Fi pública, interceptar y, peor aún, modificar estos datos.
A continuación se puede encontrar una lista de extensiones identificadas –
Rango SEMRUSH (ID de extensión: IDBHOEAIOKCOJCGAPPFIGPIFHPKJGMAB) y PI RANCE (ID: CCGDBOLDGDLNGCGFDOLAHMIILOJMFNDL). OMGHFJLPGGMJJAAGOCLMMOBGDODCJBOH), que usa HTTP para llamar a una URL de desinstalación en «Browsec-Uninstall.S3-Website.eu-Central-1.amazonaws (.) Com» Cuando un usuario intenta desbloquear la extensión de la nueva Tab (Id:: Id::: LKLFBKDIGIHJAAEAMNCIBECHGALLDGL) y MSN HomePage, Bing Search & News (ID: MidiombanaceOfjHodpDiBepppmnamfcj). Con información sobre la versión de extensión a la solicitud de URL basada en HTTP «stats.itopupdate (.) Com», el idioma del navegador del usuario y el «tipo» de uso de uso del usuario
«Si bien las credenciales y las contraseñas no parecen filtrarse, el hecho de que el administrador de contraseñas utiliza solicitudes de telemetría sin cifrar la confianza con una actitud de seguridad general», dijo Guo.
Symantec también identificó otra extensión utilizando claves API, secretos y tokens incrustados directamente en el código JavaScript.
Seguridad en línea y extensión de privacidad (ID: gomekmidlodglbbbmalcneegieAcbdmki), AVG Security Online (ID: NBMOAFCMBAJNIIAPEIDGICGIFBFMJFO), Speed Dial (FVD) – Nuevo pestaña, 3D, sincronizado SellersPrite -INVESTHERS INVESTHERS Herramient Lnbmbgocenenhhhdojdojdielgnmeflbnfb), los atacantes pueden usar los secretos API de Google Analytics 4 (GA4).
Equitio – Matemáticas se ha creado digitalmente (id: hjngolefdpdnooamgdlkjgmdcmcjnc).
Increíble grabadora de pantalla y capturas de pantalla (ID: Nlipoenfbbikpbjkfpfilcgkoblgpmj) y herramienta de captura de pantalla y captura de pantalla de desplazamiento de desplazamiento (ID: mfpiaehgjbbfednooihadalhehehehabhcjo).
Editor de Microsoft – Refector ortográfico y gramática (ID: Gpaiobkfhnonedkhhfjpmhdalgeoebfa).
Incluye un conector antídoto (ID: LMBOPDIIKKAMFHGCCKCKCJHOJNOKGFEO) que incorpora una biblioteca de terceros llamada INBOXSDK que contiene credenciales codificadas, incluidas las teclas API.
watch2gether (id: cimpffimgeipdhnhjohpbehjkcdpjolg) Exponer la clave de la búsqueda de tenor GIF
La billetera de confianza (ID: egjidjbpglichdcondbcbdnbeppgdph) expone a los desarrolladores de billetera una clave API asociada con la red RAMP, una plataforma Web3 que permite a los usuarios comprar y vender criptografía directamente desde la aplicación.
Travelarrow – Agente de viajes virtual (ID: Coplmfnphahpcknbchehdikbdieonn).
Los atacantes que terminan encontrando estas claves pueden equiparlas con armas para reducir los costos de API, alojar contenido ilegal, enviar datos de telemetría falsificados e imitar órdenes de comercio de criptomonedas.
Además de las preocupaciones, el conector antídoto es solo una de las más de 90 extensiones que usan el INBOXSDK. Esto significa que otras extensiones son más susceptibles al mismo problema. Symantec no ha revelado los nombres de otras extensiones.
«Desde los secretos de análisis de Ga4 hasta las claves de habla Azure y las credenciales de AWS S3 hasta los tokens específicos de Google, cada uno de estos fragmentos demuestra cómo algunas líneas de código pueden poner en riesgo todo un servicio», dice Guo. «Solución: no almacene credenciales confidenciales del lado del cliente».
Los desarrolladores recomiendan cambiar a HTTP cada vez que envían o reciben datos, y utilizar servicios de administración de credenciales para almacenar de forma segura las credenciales en el servidor de backend, girando los secretos regularmente para minimizar aún más el riesgo.
Los hallazgos muestran cómo incluso las extensiones populares con cientos de miles de instalaciones sufren malentendidos menores y fallas de seguridad como credenciales codificadas, poniendo en riesgo los datos del usuario.
«Los usuarios de estas extensiones deben considerar eliminarlos hasta que el desarrollador se ocupe de las llamadas inestables (HTTP)», dijo la compañía. «El riesgo no es teórico. El tráfico no cifrado se puede capturar fácilmente y los datos se pueden usar para perfilar, phishing u otros ataques dirigidos».
«La lección integral es que las grandes bases de instalación o las marcas bien conocidas no garantizan necesariamente las mejores prácticas con respecto al cifrado. Debe analizar sus extensiones para los protocolos y los datos compartidos que utiliza para garantizar que su información permanezca realmente segura».
Source link
