محققان امنیت سایبری چندین افزونه محبوب گوگل کروم را که مشخص شده است دادهها را در HTTP و رمزهای hard-code را در کد خود منتقل میکنند و کاربران را در معرض خطرات حریم خصوصی و امنیتی قرار میدهند، شناسایی کردهاند.
یوانجینگ گوئو، محقق امنیتی در تیم فناوری امنیتی و پاسخگویی سیمانتک، گفت[۱]: «چندین افزونه پرکاربرد ناخواسته دادههای حساس را از طریق HTTP ساده منتقل میکنند. با انجام این کار، آنها دامنههای مرور، شناسههای دستگاه، جزئیات سیستمعامل، تجزیهوتحلیل استفاده و حتی اطلاعات حذف را بهصورت متن ساده افشا میکنند.»
این واقعیت که ترافیک شبکه رمزگذاری نشده است، به این معنی است که آنها مستعد حملات دشمن در وسط (AitM) هستند و به بازیگران مخرب در همان شبکه مانند Wi-Fi عمومی اجازه میدهند تا این دادهها را رهگیری و حتی بدتر از آن، تغییر دهند، که میتواند منجر به عواقب بسیار جدیتری شود. فهرست افزونههای شناساییشده در زیر آمده است:
- SEMRush Rank (شناسه افزونه: idbhoeaiokcojcgappfigpifhpkjgmab) و PI Rank (شناسه: ccgdboldgdlngcgfdolahmiilojmfndl)، که URL “rank.trellian[.]com” را از طریق HTTP ساده فراخوانی میکنند.
- Browsec VPN (شناسه: omghfjlpggmjjaagoclmmobgdodcjboh)، که از HTTP برای فراخوانی یک URL حذف نصب در “browsec-uninstall.s3-website.eu-central-1.amazonaws[.]com” استفاده میکند، زمانی که کاربر سعی در حذف نصب افزونه دارد.
- MSN New Tab (شناسه: lklfbkdigihjaaeamncibechhgalldgl) و MSN Homepage، Bing Search & News (شناسه: midiombanaceofjhodpdibeppmnamfcj)، که یک شناسه ماشین منحصربهفرد و سایر جزئیات را از طریق HTTP به “ceipmsn[.]com” ایجاد میکند.
- DualSafe Password Manager & Digital Vault (شناسه: lgbjhdkjmpgjgcbcdlhkokkckpjmedgc) که یک درخواست URL مبتنی بر HTTP به “itopupdate[.]com” به همراه اطلاعاتی در مورد نسخه افزونه، زبان مرورگر کاربر و “نوع” استفاده ایجاد میکند.
گو گفت: “اگرچه به نظر نمیرسد که اطلاعات ورود یا رمزهای عبور فاش شده باشند، اما این واقعیت که یک برنامه مدیریت رمز عبور از درخواستهای رمزگذاری نشده برای سنجش از راه دور استفاده میکند، اعتماد به وضعیت امنیتی کلی آن را از بین میبرد.”
سیمانتک اعلام کرد که همچنین مجموعه دیگری از افزونهها را با کلیدها، اسرار و توکنهای API که مستقیماً در کد جاوا اسکریپت جاسازی شدهاند، شناسایی کرده است[۲] که یک مهاجم میتواند از آنها برای ایجاد درخواستهای مخرب و انجام اقدامات مخرب مختلف در کروم استفاده کند:
- افزونه امنیت و حریم خصوصی آنلاین (شناسه: gomekmidlodglbbmalcneegieacbdmki)، امنیت آنلاین AVG (شناسه: nbmoafcmbajniiapeidgficgifbfmjfo)، شمارهگیری سریع [FVD] – صفحه برگه جدید، سهبعدی، همگامسازی (شناسه: llaficoajjainaijghjlofdfmbjpebpa) و SellerSprite – ابزار تحقیقاتی آمازون (شناسه: lnbmbgocenenhhhhdojdielgnmeflbnfb) که یک راز API گوگل آنالیتیکس ۴ (GA4) را که بهصورت هاردکد شده است، افشا میکنند که یک مهاجم میتواند از آن برای بمباران نقطه پایانی GA4 و خراب کردن معیارها استفاده کند.
- Equatio – Math Made Digital (شناسه: hjngolefdpdnooamgdldlkjgmdcmcjnc) که یک کلید API مایکروسافت Azure را که برای تشخیص گفتار استفاده میشود، جاسازی میکند که یک مهاجم میتواند از آن برای افزایش هزینههای توسعهدهنده یا اتمام محدودیتهای استفاده آنها استفاده کند.
- Awesome Screen Recorder & Screenshot (شناسه: nlipoenfbbikpbjkfpfillcgkoblgpmj) و Scrolling Screenshot Tool & Screen Capture (شناسه: mfpiaehgjbbfednooihadalhehabhcjo) که کلید دسترسی توسعهدهنده به Amazon Web Services (AWS) که برای آپلود اسکرینشاتها به S3 bucket توسعهدهنده استفاده میشود را افشا میکند.
- Microsoft Editor – Spelling & Grammar Checker (شناسه: gpaiobkfhnonedkhhfjpmhdalgeoebfa) که یک کلید تلهمتری به نام “StatsApiKey” را برای ثبت دادههای کاربر برای تجزیهوتحلیل افشا میکند.
- Antidote Connector (شناسه: lmbopdiikkamfphhgcckcjhojnokgfeo) که شامل یک کتابخانه شخص ثالث به نام InboxSDK است که شامل اعتبارنامههای کدگذاری شده، ازجمله کلیدهای API، هست. Watch2Gether (شناسه: cimpffimgeipdhnhjohpbehjkcdpjolg) که یک کلید API جستجوی Tenor GIF را افشا میکند.
- Trust Wallet (شناسه: egjidjbpglichdcondbcbdnbeeppgdph) که یک کلید API مرتبط با Ramp Network را افشا میکند، یک پلتفرم Web3 که به توسعهدهندگان کیف پول راهی برای خرید یا فروش مستقیم ارز دیجیتال از طریق برنامه ارائه میدهد.
- TravelArrow – آژانس مسافرتی مجازی شما (شناسه: coplmfnphahpcknbchcehdikbdieognn) که یک کلید API موقعیت جغرافیایی را هنگام درخواست به “ip-api[.]com” افشا میکند.
مهاجمانی که در نهایت این کلیدها را پیدا میکنند، میتوانند از آنها برای افزایش هزینههای API، میزبانی محتوای غیرقانونی، ارسال دادههای تلهمتری جعلی و تقلید از سفارشهای تراکنش ارز دیجیتال استفاده کنند، که برخی از این موارد میتواند منجر به ممنوعیت توسعهدهنده شود.
نکتهی نگرانکننده این است که Antidote Connector تنها یکی از بیش از ۹۰ افزونهای در کروم است که از InboxSDK استفاده میکنند، به این معنی که سایر افزونهها نیز مستعد همین مشکل هستند. نام سایر افزونهها توسط سیمانتک فاش نشده است.
گو گفت: «از اسرار تحلیلی GA4 گرفته تا کلیدهای گفتار Azure و از اعتبارنامههای AWS S3 گرفته تا توکنهای مخصوص گوگل، هر یک از این قطعه کدها نشان میدهد که چگونه چند خط کد میتواند کل یک سرویس را به خطر بیندازد. راهحل: هرگز اعتبارنامههای حساس را در سمت کلاینت ذخیره نکنید.»
به توسعهدهندگان توصیه میشود هر زمان که دادهها را ارسال یا دریافت میکنند، به HTTPS تغییر دهند، اعتبارنامهها را با استفاده از یک سرویس مدیریت اعتبارنامه بهطور ایمن در یک سرور backend ذخیره کنند و مرتباً اسرار را تغییر دهند تا ریسک را بیشتر به حداقل برسانند.
یافتهها نشان میدهد که چگونه حتی افزونههای محبوب کروم با صدها هزار نصب میتوانند از پیکربندیهای نادرست و اشتباهات امنیتی جزئی مانند اعتبارنامههای کدگذاری شده رنج ببرند و دادههای کاربران را در معرض خطر قرار دهند.
این شرکت اعلام کرد: «کاربران این افزونههای کروم باید تا زمانی که توسعهدهندگان به تماسهای ناامن [HTTP] رسیدگی کنند، حذف آنها را در نظر بگیرند. این خطر فقط نظری نیست؛ ضبط ترافیک رمزگذاری نشده آسان است و دادهها میتوانند برای پروفایلسازی، فیشینگ یا سایر حملات هدفمند استفاده شوند.»
«درس کلی این است که یک پایگاه نصب بزرگ یا یک برند شناختهشده لزوماً بهترین شیوههای رمزگذاری را تضمین نمیکند. افزونهها باید ازنظر پروتکلهایی که استفاده میکنند و دادههایی که به اشتراک میگذارند، بررسی شوند تا اطمینان حاصل شود که اطلاعات کاربران واقعاً ایمن باقی میماند.»
منابع[۱] https://www.security.com/threat-intelligence/chrome-extension-leaks
[۲] https://www.security.com/threat-intelligence/chrome-extension-credentials
[۳] https://thehackernews.com/2025/06/popular-chrome-extensions-leak-api-keys.html
ثبت ديدگاه