摘要:赛门铁克(Symantec)在近期一项大规模安全调查中发现,Chrome应用商店存在一个令人担忧的现象:大量浏览器扩展的源代码中直接嵌入了硬编码的API密钥、密钥凭证和令牌。这一疏忽已累计影响超过全球两千万用户,可能导致数据篡改、未授权访问、财务损失,甚至给开
赛门铁克(Symantec)在近期一项大规模安全调查中发现,Chrome应用商店存在一个令人担忧的现象:大量浏览器扩展的源代码中直接嵌入了硬编码的API密钥、密钥凭证和令牌。这一疏忽已累计影响超过全球两千万用户,可能导致数据篡改、未授权访问、财务损失,甚至给开发者带来声誉损害。
Part01
安全隐患全面曝光
赛门铁克专家指出:"这些密钥一旦发布,任何有意者都能轻易获取——攻击者只需检查扩展安装包即可提取。"从云资源到分析终端,这些被嵌入的密钥可能被滥用于多种场景,包括垃圾邮件服务、篡改遥测数据乃至接管基础设施。
调查显示多个知名Chrome扩展存在密钥暴露问题,以下是关键发现:
(显示硬编码Google Analytics 4 API密钥的代码片段 | 图片来源:赛门铁克)
Part02高危扩展案例盘点
• Avast & AVG Online Security(合计700万+用户)
漏洞类型:硬编码Google Analytics 4 API密钥
风险:"攻击者可向GA4终端发送虚假事件,破坏指标数据或推高分析成本"
• Equatio数学工具(500万+用户)
漏洞:暴露Azure语音识别API密钥
风险:"恶意用户若重复调用该接口,可能导致开发者Azure订阅服务产生超额费用"
• Awesome Screenshot截图工具(340万+用户)
漏洞:内嵌AWS S3访问密钥
风险:"攻击者可编写脚本上传非法内容、恶意文件,甚至渗透其他AWS资源"
• Microsoft Editor编辑器(200万+用户)
漏洞:泄露遥测密钥
风险:"持有该密钥者可生成伪造遥测数据,耗尽资源或锁定开发者分析系统"
其他受影响扩展
• Antidote Connector(100万+用户)通过InboxSDK暴露Google API密钥,可能被用于操纵Gmail数据• Watch2Gether(100万+用户)Tenor GIF搜索API密钥暴露,可能导致开发者账户被API服务封禁• Trust Wallet钱包(100万+用户)法币通道API密钥泄露,攻击者可伪造加密货币交易请求• TravelArrow(30万用户)地理位置API密钥暴露,可能产生高额账单或导致API访问权限被禁用Part03其他受影响扩展
开发者将密钥直接嵌入代码的行为,无异于主动邀请攻击者利用服务、耗尽资源或破坏隐私。
赛门铁克强调:"切勿在客户端存储敏感凭证,应通过安全后端服务器路由特权操作。清除暴露的密钥既能维护用户信任,又可避免经济损失,同时确保产品的分析结果安全可靠。"
参考来源:
Chrome Extension Security Alert: Hidden API Keys Expose 21M+ Users to Risk
https://securityonline.info/chrome-extension-security-alert--api-keys-expose-21m-users-to-risk/
推荐阅读
来源:FreeBuf
