Pesquisadores de cibersegurança identificaram diversas extensões populares do Google Chrome que foram encontradas transmitindo dados via HTTP e incorporando segredos de forma explícita em seu código, expondo usuários a riscos de privacidade e segurança.
"Várias extensões amplamente utilizadas [...] transmitem involuntariamente dados sensíveis por HTTP simples," disse Yuanjing Guo, pesquisador de segurança na equipe de Tecnologia de Segurança e Resposta da Symantec.
Ao fazer isso, elas expõem domínios de navegação, IDs de máquinas, detalhes do sistema operacional, análises de uso e até informações de desinstalação, em texto simples.
O fato de o tráfego de rede ser não criptografado também significa que eles são suscetíveis a ataques do tipo adversário no meio (AitM), permitindo que atores maliciosos na mesma rede, como um Wi-Fi público, interceptem e, ainda pior, modifiquem esses dados, o que poderia levar a consequências muito mais graves.
A lista de extensões identificadas está abaixo:
- SEMRush Rank (ID da extensão: idbhoeaiokcojcgappfigpifhpkjgmab) e PI Rank (ID: ccgdboldgdlngcgfdolahmiilojmfndl), que fazem chamadas para a URL "rank.trellian[.]com" por HTTP simples
- Browsec VPN (ID: omghfjlpggmjjaagoclmmobgdodcjboh), que usa HTTP para chamar uma URL de desinstalação em "browsec-uninstall.s3-website.eu-central-1.amazonaws[.]com" quando um usuário tenta desinstalar a extensão
- MSN New Tab (ID: lklfbkdigihjaaeamncibechhgalldgl) e MSN Homepage, Bing Search & News (ID: midiombanaceofjhodpdibeppmnamfcj), que transmitem um identificador único de máquina e outros detalhes via HTTP para "g.ceipmsn[.]com"
- DualSafe Password Manager & Digital Vault (ID: lgbjhdkjmpgjgcbcdlhkokkckpjmedgc), que constrói uma solicitação de URL baseada em HTTP para "stats.itopupdate[.]com" junto com informações sobre a versão da extensão, o idioma do navegador do usuário e o "tipo" de uso
"Embora credenciais ou senhas não pareçam ser vazadas, o fato de um gerenciador de senhas usar solicitações não criptografadas para telemetria corrói a confiança em sua postura geral de segurança," disse Guo.
A Symantec também identificou outro conjunto de extensões com chaves de API, segredos e tokens diretamente embutidos no código JavaScript, o que um atacante poderia utilizar para elaborar solicitações maliciosas e realizar várias ações maliciosas.
Extensão de Segurança Online & Privacidade (ID: gomekmidlodglbbmalcneegieacbdmki), AVG Online Security (ID: nbmoafcmbajniiapeidgficgifbfmjfo), Speed Dial [FVD] - Nova Página de Abas, 3D, Sincronização (ID: llaficoajjainaijghjlofdfmbjpebpa), e SellerSprite - Ferramenta de Pesquisa da Amazon (ID: lnbmpgocenenhhhdojdielgnmeflbnfb), que expõem um segredo de API do Google Analytics 4 (GA4) codificado que um atacante poderia usar para bombardear o ponto de extremidade do GA4 e corromper métricas.
Equatio – Matemática Digital (ID: hjngolefdpdnooamgdldlkjgmdcmcjnc), que incorpora uma chave de API do Microsoft Azure usada para reconhecimento de voz que um atacante poderia usar para inflar os custos do desenvolvedor ou esgotar seus limites de uso.
Awesome Screen Recorder & Screenshot (ID: nlipoenfbbikpbjkfpfillcgkoblgpmj) e Ferramenta de Captura de Tela e Screenshot Rolante (ID: mfpiaehgjbbfednooihadalhehabhcjo), que expõem a chave de acesso do Amazon Web Services (AWS) do desenvolvedor usada para carregar capturas de tela no bucket S3 do desenvolvedor.
Microsoft Editor – Corretor de Ortografia & Gramática (ID: gpaiobkfhnonedkhhfjpmhdalgeoebfa), que expõe uma chave de telemetria denominada "StatsApiKey" para registrar dados do usuário para análise.
Antidote Connector (ID: lmbopdiikkamfphhgcckcjhojnokgfeo), que incorpora uma biblioteca de terceiros chamada InboxSDK que contém credenciais codificadas, incluindo chaves de API.
Watch2Gether (ID: cimpffimgeipdhnhjohpbehjkcdpjolg), que expõe uma chave de API de pesquisa de GIFs da Tenor.
Trust Wallet (ID: egjidjbpglichdcondbcbdnbeeppgdph), que expõe uma chave de API associada à Ramp Network, uma plataforma Web3 que oferece aos desenvolvedores de carteiras uma maneira de permitir que os usuários comprem ou vendam cripto diretamente do aplicativo.
TravelArrow – Seu Agente de Viagens Virtual (ID: coplmfnphahpcknbchcehdikbdieognn), que expõe uma chave de API de geolocalização ao fazer consultas para "ip-api[.]com"
Atacantes que encontrarem essas chaves poderiam usá-las para aumentar os custos de API, hospedar conteúdo ilegal, enviar dados de telemetria forjados e simular ordens de transação de criptomoedas, algumas das quais poderiam resultar no banimento do desenvolvedor.
Para aumentar a preocupação, o Antidote Connector é apenas uma das mais de 90 extensões que usam o InboxSDK, o que significa que as outras extensões são suscetíveis ao mesmo problema.
Os nomes das outras extensões não foram divulgados pela Symantec.
"De segredos de análise do GA4 a chaves de fala do Azure, e de credenciais do AWS S3 a tokens específicos do Google, cada um desses trechos demonstra como algumas linhas de código podem colocar em risco um serviço inteiro," disse Guo.
"A solução: nunca armazenar credenciais sensíveis do lado do cliente."
Recomenda-se que os desenvolvedores migrem para HTTPS sempre que enviarem ou receberem dados, armazenem credenciais de forma segura em um servidor backend usando um serviço de gerenciamento de credenciais e rotacionem regularmente os segredos para minimizar ainda mais o risco.
Os achados mostram como até mesmo extensões populares com centenas de milhares de instalações podem sofrer de configurações erradas triviais e falhas de segurança como credenciais codificadas, deixando os dados dos usuários em risco.
"Usuários dessas extensões devem considerar removê-las até que os desenvolvedores abordem as chamadas [HTTP] inseguras," disse a empresa.
"O risco não é apenas teórico; o tráfego não criptografado é simples de capturar, e os dados podem ser usados para perfilamento, phishing ou outros ataques direcionados."
A lição mais abrangente é que uma grande base de instalação ou uma marca bem conhecida não necessariamente garante as melhores práticas em torno da criptografia.
As extensões devem ser examinadas pelos protocolos que utilizam e pelos dados que compartilham, para garantir que as informações dos usuários permaneçam verdadeiramente seguras.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...