Les extensions chromées ont été repérées des données de navigateur sensibles qui fuient comme les clés d’API, les secrets et les jetons via des transmissions HTTP non gardées et des déversements codés en dur.
Des extensions chromées apparemment inoffensives visant à améliorer la confidentialité et l’analyse du navigateur pourraient fuir par inadvertance des clés, des secrets et d’autres informations sensibles de la machine.
Selon une recherche Symantec, plusieurs extensions chromées largement utilisées, notamment Dualsafe Password Manager et Avast Online Security & Privacy Extension, exposent des informations via une transmission HTTP non sécurisée, soit des fuites codées en dur.
Yuanjing Guo, un ingénieur logiciel chez Symantec, a déclaré des informations d’identification codées en dur telles que les clés d’API, les secrets ou les jetons intégrés dans le JavaScript d’une extension de navigateur sont parmi les défauts de sécurité les plus graves du développement moderne. Guo a également ajouté que des extensions populaires comme Semrush Rank, Pi Rank, MSN New Tab / HomePage, Dualsafe Password Manager et Browsec VPN transmettent par inadvertance des données sensibles sur HTTP non cryptée.
« Cet incident met en évidence une lacune critique dans la sécurité des extensions – même les extensions chromées populaires peuvent mettre les utilisateurs en danger si les développeurs coupent les coins », a déclaré Patrick Tiquet, vice-président, sécurité et architecture chez Keeper Security. « La transmission de données sur le HTTP non crypté et les secrets de codage dur exposés aux utilisateurs exposés au profilage, au phishing et à l’adversaire dans les attaques du milieu, en particulier sur les réseaux non garantis. »
Informations sensibles exposées via HTTP sans sécurité
La transmission de données sensibles sur un HTTP simple (non crypté) expose les domaines de navigation, les identifiants de machine, les détails du système d’exploitation, l’analyse d’utilisation et les informations de désinstallation en texte clair.
« Parce que le trafic n’est pas crypté, un attaquant de l’homme dans le milieu (MITM) sur le même réseau peut intercepter et, dans certains cas, modifier ces données, conduisant à des scénarios beaucoup plus dangereux qu’une simple écoute », a déclaré Guo.
D’après les extensions que Guo a mentionnées, Semrush Rank et Pi Rank Transmit les domaines de navigation des utilisateurs en clair à Rank.trellian.com, exposant efficacement leur activité Web. MSN New Tab / Home Page envoie un ID de machine persistant, une version OS et une version d’extension à l’aide d’une demande d’envoi deDetails non cryptée, des données qui peuvent être utilisées pour suivre les utilisateurs à travers les sessions.
De plus, Dualsafe Password Manager, sans ne pas divulguer de mots de passe, pousse toujours des analyses comme le langage et la version du navigateur sur stats.itopupdate.com sur http.
« Nous avons l’habitude d’appeler ces (extensions) BHO – Browser Helper Objets – et c’était un moyen très courant de compromettre les navigateurs pour divers résultats, allant du vol d’identification et d’espionnage des utilisateurs, pour établir simplement des moyens pour identifier et suivre très uniquement les utilisateurs sur Internet », a déclaré Bugcrowd Ciso Trey Ford. « En fin de compte, cela peut se manifester comme une forme de logiciels malveillants et créer inévitablement une nouvelle surface d’attaque pour les mécréants pour attaquer et compromettre une expérience de navigation très sécurisée. »
L’installation de la protection des critères de terminaison appropriée, le blocage des extensions des sites inconnus, la surveillance des autorisations d’extension et les données de sauvegarde ont souvent été répertoriées comme quelques facteurs atténuants contre les exploits ciblant ces expositions.
Le code d’extension utilise des informations d’identification codées en dur
Guo a ajouté que les informations d’identification codées en dur, telles que les clés d’API, les secrets et les jetons, sont exposées dans le JavaScript des extensions populaires, ce qui les rend accessibles à quiconque inspecte le code source de l’extension.
Par exemple, les extensions de sécurité en ligne AVAST en ligne et la sécurité en ligne AVG, visant à parcourir la confidentialité et la sécurité, contiennent tous deux des secrets d’API Google Analytics 4 (GA4) codés en dur. Un attaquant découvrant ces secrets pourrait les abuser d’envoyer des données frauduleuses au point final de GA4.
D’autres extensions telles que l’enregistreur d’écran génial et la capture d’écran et le défilement de la capture d’écran et la capture d’écran révèlent les touches d’accès AWS S3 dans leur code.
«Les clés et les secrets d’API de codage rigide directement dans JavaScript rend ces informations d’identification facilement accessibles aux attaquants», a déclaré Eric Schwake, directeur de la stratégie de cybersécurité chez Salt Security. «Ils peuvent exploiter ces clés avec malveillance, notamment en gonflant les coûts d’API, en hébergeant un contenu illicite ou en reproduisant les transactions sensibles, telles que les ordres de crypto-monnaie.»
Microsoft Editor, une extension d’édition alimentée par AI pour Chrome et Edge, se trouve également exposant une clé de télémétrie, Statsapikey, qui peut être exploitée pour générer de fausses données d’analyse, perturbant potentiellement les processus de collecte et d’analyse de données de Microsoft.
