Ваш Chrome не защищает вас: список расширений, которые нужно удалить прямо сейчас

Аналитики из Symantec выявили серьёзные уязвимости в ряде популярных расширений для Google Chrome, ставящих под угрозу конфиденциальность и безопасность пользователей. Проблемы связаны с передачей чувствительных данных по незащищённому протоколу HTTP и наличием жёстко заданных секретов в коде расширений

По словам исследователя Юаньцзин Го, Юаньцзин Го из команды Symantec, несколько широко используемых расширений непреднамеренно передают чувствительные данные через незащищённое HTTP-соединение. В числе таких данных — домены посещаемых сайтов, идентификаторы устройств, сведения об операционной системе, аналитика использования и даже информация об удалении расширения. Всё это передаётся в открытом виде, без шифрования. Поскольку трафик не защищён, он уязвим для атак типа adversary-in-the-middle (AitM). Злоумышленники, находящиеся в той же сети — например, в публичном Wi-Fi — могут не только перехватывать передаваемую информацию, но и модифицировать её, что потенциально ведёт к более серьёзным последствиям..

В список небезопасных расширений вошли:

• SEMRush Rank и PI Rank — обращаются по HTTP к адресу rank.trellian[.]com;
• Browsec VPN — при удалении расширения отправляет запрос по HTTP на browsec-uninstall.s3-website.eu-central-1.amazonaws[.]com;
• MSN New Tab и MSN Homepage, Bing Search & News — передают уникальные идентификаторы устройств на g.ceipmsn[.]com;
• DualSafe Password Manager — передаёт статистику использования, версию расширения и язык браузера на stats.itopupdate[.]com.

Хотя прямой утечки паролей не обнаружено, сам факт того, что менеджер паролей отправляет телеметрию через незащищённое соединение, подрывает доверие к его надёжности.

Symantec также выявила другую группу расширений, в коде которых напрямую прописаны API-ключи, токены и секреты. Эти данные могут быть использованы злоумышленниками для создания вредоносных запросов и проведения атак.

В их числе:

• AVG Online Security, Speed Dial [FVD], SellerSprite — содержат зашитый секрет Google Analytics 4 (GA4), с помощью которого можно искажать метрики;
• Equatio — содержит ключ Microsoft Azure, используемый для распознавания речи;
• Awesome Screen Recorder и Scrolling Screenshot Tool — раскрывают AWS-ключ разработчика для загрузки скриншотов в S3-хранилище;
• Microsoft Editor — использует телеметрический ключ StatsApiKey для сбора аналитики;
• Antidote Connector — использует стороннюю библиотеку InboxSDK с зашитыми API-ключами. Эта же библиотека применяется ещё в более чем 90 расширениях, названия которых не раскрыты;
• Watch2Gether, Trust Wallet, TravelArrow — содержат открытые ключи для API Tenor, Ramp Network и ip-api соответственно.

Злоумышленники, получив доступ к этим ключам, могут подделывать телеметрию, имитировать криптовалютные транзакции, размещать запрещённый контент и увеличивать расходы разработчиков на вызовы API.

Эксперты подчёркивают: от GA4 до Azure, от AWS до Ramp — несколько строк незащищённого кода могут привести к компрометации целого сервиса. Решение — не хранить чувствительные данные на клиентской стороне и использовать только защищённые каналы связи.

Пользователям рекомендуют удалить небезопасные расширения до тех пор, пока разработчики не устранят вызовы через незащищённый протокол. Открытый трафик — это не абстрактная угроза: его легко перехватить, а затем использовать для фишинга, слежки и таргетированных атак.

Даже высокая популярность и узнаваемый бренд не гарантируют соблюдение базовых принципов безопасности. Расширения должны проверяться на используемые протоколы и характер передаваемой информации — только это может обеспечить реальную защиту данных.