Обнаружена утечка данных из популярных расширений Chrome через незашифрованные соединения

Недавнее расследование показало, что несколько широко используемых расширений Google Chrome передают конфиденциальные пользовательские данные по незашифрованным HTTP-соединениям, подвергая миллионы пользователей серьезным рискам для конфиденциальности и безопасности.

Результаты, опубликованные исследователями в области кибербезопасности и подробно изложенные в сообщении в блоге Symantec, показывают, как такие расширения, как:

Рейтинг PI (ID: ccgdboldgdlngcgfdolahmiilojmfndl)

Browsec VPN (ID: omghfjlpggmjjaagoclmmobgdodcjboh )

Новая вкладка MSN (ID: lklfbkdigihjaaeamncibechhgalldgl)

Рейтинг SEMRush ( ID: idbhoeaiokcojcgappfigpifhpkjgmab )

Менеджер паролей и цифровое хранилище DualSafe (ID: lgbjhdkjmpgjgcbcdlhkokkckpjmedgc)

Существуют и другие расширения, которые обрабатывают пользовательские данные способами, открывающими возможности для прослушивания, профилирования и других атак.

Хотя эти расширения являются законными и призваны помогать пользователям отслеживать рейтинги веб-сайтов, управлять паролями или улучшать качество просмотра веб-страниц, втайне они выполняют сетевые запросы без шифрования, позволяя любому пользователю в той же сети видеть, что именно отправляется.

В некоторых случаях это включает в себя такие данные, как домены, которые посещает пользователь, информацию об операционной системе, уникальные идентификаторы машин и данные телеметрии. Еще более тревожно то, что в исходном коде нескольких расширений также были обнаружены жестко закодированные ключи API , секреты и токены, что является ценной информацией, которую злоумышленники могут легко использовать.

Когда расширения передают данные с использованием HTTP , а не HTTPS , информация передается по сети в виде открытого текста. Например, в общедоступной сети Wi-Fi злоумышленник может перехватить эти данные без особых усилий. Хуже того, они могут изменить их в процессе передачи.

Это открывает двери для атак, выходящих далеко за рамки шпионажа. Согласно сообщению в блоге Symantec, в случае Browsec VPN, популярного расширения, ориентированного на конфиденциальность, с более чем шестью миллионами пользователей, использование конечной точки HTTP во время процесса удаления отправляет идентификаторы пользователей и статистику использования без шифрования. Конфигурация расширения позволяет ему подключаться к небезопасным веб-сайтам, что еще больше расширяет поверхность атаки.

Другие расширения виновны в схожих проблемах. SEMRush Rank и PI Rank, оба разработанные для отображения популярности веб-сайтов, как было обнаружено, отправляют полные URL-адреса посещенных сайтов по HTTP на сторонние серверы. Это позволяет сетевому наблюдателю легко создавать подробные журналы привычек просмотра пользователем.

MSN New Tab и MSN Homepage с сотнями тысяч пользователей передают идентификаторы машин и другие данные об устройствах. Эти идентификаторы остаются стабильными с течением времени, что позволяет злоумышленникам связывать несколько сеансов и создавать профили, которые сохраняются при просмотре.

Даже DualSafe Password Manager, который по своей природе обрабатывает конфиденциальную информацию, был пойман на отправке телеметрических данных по HTTP . Хотя никаких паролей не было утечек, тот факт, что любая часть расширения использует незашифрованный трафик, вызывает опасения по поводу его общей конструкции.

Патрик Тике , вице-президент по безопасности и архитектуре в Keeper Security, прокомментировал это, заявив: « Этот инцидент подчеркивает критический пробел в безопасности расширений — даже популярные расширения Chrome могут подвергнуть пользователей риску, если разработчики схалтурят. Передача данных по незашифрованному HTTP и жесткое кодирование секретов подвергает пользователей риску профилирования, фишинга и атак типа «злоумышленник посередине» — особенно в незащищенных сетях » .

Он предупредил о последствиях для ничего не подозревающих пользователей и посоветовал « организациям принять немедленные меры, усилив строгий контроль за использованием расширений браузера, надежно управляя секретами и отслеживая подозрительное поведение на конечных точках » .

Хотя ни одно из расширений не было обнаружено для прямой утечки паролей или финансовых данных, раскрытие идентификаторов машин, привычек просмотра и телеметрии далеко не безвредно. Злоумышленники могут использовать эти данные для отслеживания пользователей на веб-сайтах, проведения целевых фишинговых кампаний или выдачи себя за телеметрию устройств в вредоносных целях.

Хотя это и теоретически, последние результаты NordVPN выявили более 94 миллиардов файлов cookie браузера в даркнете . В сочетании с утечками данных, выявленными Symantec, потенциальный ущерб оказывается значительным.

Разработчики, которые включают в свои расширения жестко закодированные ключи API или секреты, добавляют еще один уровень риска. Если злоумышленник завладеет этими учетными данными, он может использовать их не по назначению, чтобы выдавать себя за расширение, отправлять поддельные данные или даже завышать использование сервиса, что приведет к финансовым затратам или блокировкам учетных записей для разработчиков.

Symantec связалась с разработчиками, и только DualSafe Password Manager исправил проблему. Тем не менее, пользователям, установившим какие-либо из затронутых расширений, рекомендуется удалить их, пока разработчики не исправят проблемы. Даже популярные и хорошо проверенные расширения могут делать небезопасные выборы дизайна, которые остаются незамеченными в течение многих лет.

Hckread.com рекомендует проверять разрешения, запрашиваемые расширением, избегать неизвестных издателей и использовать надежное решение безопасности. Прежде всего, любой инструмент, обещающий конфиденциальность или безопасность, следует тщательно изучить на предмет того, как он обрабатывает ваши данные.