محققان امنیت سایبری چندین افزونه محبوب گوگل کروم را شناسایی کرده‌اند که داده‌ها را از طریق HTTP غیرامن ارسال می‌کنند و رمزهای محرمانه را در کد خود ذخیره کرده‌اند که کاربران را در معرض خطرات امنیتی و حریم خصوصی قرار می‌دهد.

یوانجینگ گو، محقق امنیتی در تیم فناوری و پاسخ امنیتی سیمانتک، می‌گوید: “چندین افزونه پرکاربرد به طور ناخواسته داده‌های حساس را از طریق HTTP ساده منتقل می‌کنند. با این کار، دامنه‌های مرور، شناسه‌های دستگاه، جزئیات سیستم عامل، تحلیل‌های استفاده و حتی اطلاعات حذف نصب را به صورت متن ساده در معرض دید قرار می‌دهند.”

ارسال غیررمزنگاری شده ترافیک شبکه باعث می‌شود این افزونه‌ها در برابر حملات مرد میانی آسیب‌پذیر باشند. مهاجمان در همان شبکه، مانند وای‌فای عمومی، می‌توانند این داده‌ها را رهگیری و حتی تغییر دهند که می‌تواند عواقب جدی‌تری داشته باشد.

فهرست افزونه‌های شناسایی شده شامل موارد زیر است:

SEMRush Rank و PI Rank که آدرس “rank.trellian.com” را از طریق HTTP فراخوانی می‌کنند

Browsec VPN که هنگام حذف افزونه، از HTTP برای فراخوانی آدرس حذف نصب استفاده می‌کند

MSN New Tab و MSN Homepage که شناسه منحصر به فرد دستگاه و جزئیات دیگر را از طریق HTTP ارسال می‌کنند

DualSafe Password Manager که درخواست‌های HTTP برای ارسال اطلاعات نسخه افزونه، زبان مرورگر و نوع استفاده ایجاد می‌کند

گو می‌گوید: “اگرچه اطلاعات کاربری یا رمزهای عبور فاش نمی‌شوند، اما استفاده یک مدیر رمز عبور از درخواست‌های غیررمزنگاری شده برای تله‌متری، اعتماد به وضعیت امنیتی کلی آن را از بین می‌برد.”

سیمانتک همچنین مجموعه دیگری از افزونه‌ها را شناسایی کرد که کلیدهای API و رمزهای محرمانه را مستقیماً در کد جاوااسکریپت خود جاسازی کرده‌اند:

افزونه‌های Online Security & Privacy، AVG Online Security، Speed Dial و SellerSprite که رمز API گوگل آنالیتیکس 4 را فاش می‌کنند

Equatio که کلید API مایکروسافت آژور برای تشخیص گفتار را جاسازی کرده است

Awesome Screen Recorder و Scrolling Screenshot Tool که کلید دسترسی AWS توسعه‌دهنده را فاش می‌کنند

Microsoft Editor که کلید تله‌متری برای ثبت داده‌های کاربر را نمایان می‌کند

Antidote Connector که حاوی کتابخانه InboxSDK با اعتبارنامه‌های کدگذاری شده است

Watch2Gether که کلید API جستجوی GIF را فاش می‌کند

Trust Wallet که کلید API مرتبط با Ramp Network را نمایان می‌کند

TravelArrow که کلید API موقعیت جغرافیایی را هنگام پرس‌وجو فاش می‌کند

مهاجمانی که این کلیدها را پیدا کنند می‌توانند از آنها برای افزایش هزینه‌های API، میزبانی محتوای غیرقانونی، ارسال داده‌های تله‌متری جعلی و تقلید دستورات تراکنش ارز دیجیتال استفاده کنند.

نگران‌کننده‌تر اینکه Antidote Connector تنها یکی از بیش از 90 افزونه‌ای است که از InboxSDK استفاده می‌کند، به این معنی که سایر افزونه‌ها نیز در معرض همین مشکل هستند.

گو می‌گوید: “از رمزهای تحلیلی GA4 تا کلیدهای گفتار آژور، و از اعتبارنامه‌های AWS S3 تا توکن‌های مخصوص گوگل، هر یک از این قطعات کد نشان می‌دهد چگونه چند خط کد می‌تواند کل سرویس را به خطر بیندازد. راه‌حل: هرگز اعتبارنامه‌های حساس را در سمت کلاینت ذخیره نکنید.”

به توسعه‌دهندگان توصیه می‌شود هر زمان که داده‌ای ارسال یا دریافت می‌کنند به HTTPS تغییر دهند، اعتبارنامه‌ها را به طور امن در سرور پشتیبان با استفاده از سرویس مدیریت اعتبارنامه ذخیره کنند و به طور منظم رمزها را تغییر دهند.

این یافته‌ها نشان می‌دهد چگونه حتی افزونه‌های محبوب با صدها هزار نصب می‌توانند از پیکربندی‌های نادرست و اشتباهات امنیتی ساده مانند اعتبارنامه‌های کدگذاری شده رنج ببرند و داده‌های کاربران را در معرض خطر قرار دهند.

شرکت می‌گوید: “کاربران این افزونه‌ها باید حذف آنها را در نظر بگیرند تا زمانی که توسعه‌دهندگان فراخوانی‌های ناامن HTTP را برطرف کنند. این خطر تنها نظری نیست؛ ترافیک رمزنگاری نشده به راحتی قابل ضبط است و داده‌ها می‌توانند برای پروفایل‌سازی، فیشینگ یا سایر حملات هدفمند استفاده شوند.”

درس کلی این است که پایگاه نصب بزرگ یا برند شناخته شده لزوماً بهترین شیوه‌ها در رمزنگاری را تضمین نمی‌کند. افزونه‌ها باید از نظر پروتکل‌هایی که استفاده می‌کنند و داده‌هایی که به اشتراک می‌گذارند بررسی شوند تا اطمینان حاصل شود اطلاعات کاربران واقعاً ایمن باقی می‌ماند.