サイバーセキュリティ研究者は、データをHTTPで送信し、コードに秘密をハードコードしていることが判明したいくつかの人気のあるGoogle Chrome拡張機能を指摘し、ユーザーをプライバシーとセキュリティのリスクにさらしています。
「いくつかの広く使用されている拡張機能は[…]意図せずに機密データを単純なHTTPで送信しています」と、Symantecのセキュリティ技術と応答チームのセキュリティ研究者であるYuanjing Guoは述べました。「これにより、ブラウジングドメイン、マシンID、オペレーティングシステムの詳細、使用状況分析、さらにはアンインストール情報までもがプレーンテキストで露出されます。」
ネットワークトラフィックが暗号化されていないという事実は、アドバーサリー・イン・ザ・ミドル(AitM)攻撃に対して脆弱であることも意味し、公共のWi-Fiなどの同じネットワーク上の悪意のあるアクターがこのデータを傍受し、さらに悪いことに、これを改ざんすることができ、はるかに深刻な結果を引き起こす可能性があります。
特定された拡張機能のリストは以下の通りです –
- SEMRush Rank(拡張機能ID: idbhoeaiokcojcgappfigpifhpkjgmab)およびPI Rank(ID: ccgdboldgdlngcgfdolahmiilojmfndl)、これらはプレーンHTTPでURL「rank.trellian[.]com」を呼び出します
- Browsec VPN(ID: omghfjlpggmjjaagoclmmobgdodcjboh)、ユーザーが拡張機能をアンインストールしようとすると、「browsec-uninstall.s3-website.eu-central-1.amazonaws[.]com」でHTTPを使用してアンインストールURLを呼び出します
- MSN New Tab(ID: lklfbkdigihjaaeamncibechhgalldgl)およびMSN Homepage, Bing Search & News(ID: midiombanaceofjhodpdibeppmnamfcj)、これらは「g.ceipmsn[.]com」にHTTPで一意のマシン識別子とその他の詳細を送信します
- DualSafe Password Manager & Digital Vault(ID: lgbjhdkjmpgjgcbcdlhkokkckpjmedgc)、拡張機能のバージョン、ユーザーのブラウザ言語、使用「タイプ」に関する情報とともに「stats.itopupdate[.]com」へのHTTPベースのURLリクエストを構築します
「資格情報やパスワードが漏洩しているようには見えませんが、パスワードマネージャーがテレメトリーのために暗号化されていないリクエストを使用するという事実は、その全体的なセキュリティ姿勢に対する信頼を損ないます」とGuoは述べました。
Symantecはまた、攻撃者が悪意のあるリクエストを作成し、さまざまな悪意のある行動を実行するために利用できるJavaScriptコードに直接埋め込まれたAPIキー、秘密、およびトークンを持つ別のセットの拡張機能を特定しました –
-
Online Security & Privacy拡張機能(ID: gomekmidlodglbbmalcneegieacbdmki)、AVG Online Security(ID: nbmoafcmbajniiapeidgficgifbfmjfo)、Speed Dial [FVD] – New Tab Page, 3D, Sync(ID: llaficoajjainaijghjlofdfmbjpebpa)、およびSellerSprite – Amazon Research Tool(ID: lnbmbgocenenhhhdojdielgnmeflbnfb)、これらは攻撃者がGA4エンドポイントを爆撃し、メトリクスを破損させるために使用できるハードコードされたGoogle Analytics 4(GA4)API秘密を露出します
-
Equatio – Math Made Digital(ID: hjngolefdpdnooamgdldlkjgmdcmcjnc)、攻撃者が開発者のコストを増加させたり、使用制限を超えさせたりするために使用できるMicrosoft Azure APIキーを埋め込んでいます
-
Awesome Screen Recorder & Screenshot(ID: nlipoenfbbikpbjkfpfillcgkoblgpmj)およびScrolling Screenshot Tool & Screen Capture(ID: mfpiaehgjbbfednooihadalhehabhcjo)、これらは開発者のAmazon Web Services(AWS)アクセスキーを露出し、開発者のS3バケットにスクリーンショットをアップロードするために使用されます
-
Microsoft Editor – Spelling & Grammar Checker(ID: gpaiobkfhnonedkhhfjpmhdalgeoebfa)、ユーザーデータを分析のためにログに記録するための「StatsApiKey」という名前のテレメトリーキーを露出します
-
Antidote Connector(ID: lmbopdiikkamfphhgcckcjhojnokgfeo)、APIキーを含むハードコードされた資格情報を含むInboxSDKというサードパーティライブラリを組み込んでいます。
-
Watch2Gether(ID: cimpffimgeipdhnhjohpbehjkcdpjolg)、Tenor GIF検索APIキーを露出します
-
Trust Wallet(ID: egjidjbpglichdcondbcbdnbeeppgdph)、ユーザーがアプリから直接暗号を購入または販売できる方法をウォレット開発者に提供するWeb3プラットフォームであるRamp Networkに関連付けられたAPIキーを露出します
-
TravelArrow – Your Virtual Travel Agent(ID: coplmfnphahpcknbchcehdikbdieognn)、「ip-api[.]com」へのクエリを行う際にジオロケーションAPIキーを露出します
これらのキーを見つけた攻撃者は、APIコストを増加させたり、違法コンテンツをホストしたり、偽のテレメトリーデータを送信したり、暗号通貨の取引注文を模倣したりするためにそれらを利用することができ、いくつかのケースでは開発者が禁止される可能性があります。
懸念を加えると、Antidote ConnectorはInboxSDKを使用する90以上の拡張機能のうちの1つに過ぎず、他の拡張機能も同じ問題に対して脆弱であることを意味します。他の拡張機能の名前はSymantecによって公開されていませんでした。
「GA4の分析秘密からAzureの音声キー、AWS S3の資格情報からGoogle固有のトークンまで、これらのコードスニペットは、わずか数行のコードがサービス全体を危険にさらす可能性があることを示しています」とGuoは述べました。「解決策は、クライアント側に機密資格情報を保存しないことです。」
開発者は、データを送受信する際にHTTPSに切り替え、資格情報管理サービスを使用してバックエンドサーバーに資格情報を安全に保存し、リスクをさらに最小限に抑えるために定期的に秘密を回転させることを推奨されます。
この調査結果は、数十万のインストールを持つ人気のある拡張機能でさえ、ハードコードされた資格情報のような些細な誤設定やセキュリティの失敗に苦しむ可能性があることを示しています。
「これらの拡張機能のユーザーは、開発者が不安全な[HTTP]呼び出しに対処するまで、それらを削除することを検討すべきです」と会社は述べました。「リスクは理論的なものではなく、暗号化されていないトラフィックは簡単にキャプチャされ、データはプロファイリング、フィッシング、または他のターゲット攻撃に使用される可能性があります。」
「大規模なインストールベースや有名なブランドが、必ずしも暗号化に関するベストプラクティスを保証するわけではないというのが全体的な教訓です。拡張機能は、使用するプロトコルと共有するデータについて精査され、ユーザーの情報が本当に安全であることを確認する必要があります。」
翻訳元: https://thehackernews.com/2025/06/popular-chrome-extensions-leak-api-keys.html