اكتشف باحثون أمنيون في سيمانتيك عدة إضافات شهيرة لمتصفح جوجل كروم تقوم بنقل بيانات المستخدمين عبر بروتوكول HTTP غير المشفر، مما يعرض معلومات حساسة للخطر.
ويؤكد هذا الكشف أن الشعبية والعلامات التجارية الكبيرة لا تضمن بالضرورة اتباع أفضل الممارسات الأمنية، مما يستدعي مزيدًا من التدقيق في الإضافات قبل استخدامها.
الإضافات المثيرة للقلق:
إضافات تنقل بيانات عبر HTTP غير مشفر:
-
SEMRush Rank وPI Rank: تنقلان بيانات إلى rank.trellian[.]com
-
Browsec VPN: ترسل معلومات عند إلغاء التثبيت إلى عنوان غير مشفر
-
إضافات MSN: تسرب معرفًا فريدًا للجهاز ومعلومات أخرى
-
DualSafe Password Manager: مدير كلمات مرور يستخدم اتصالات غير مشفرة للإحصاءات
إضافات تحتوي على مفاتيح API ومعلومات سرية مضمنة في الكود:
-
AVG Online Security وSpeed Dial [FVD]: تكشف عن مفتاح سري لخدمة Google Analytics
-
Equatio – Math Made Digital: تحتوي على مفتاح API لخدمة مايكروسوفت للتعرف على الصوت
-
إضافات تسجيل الشاشة: تكشف عن مفاتيح وصول AWS لرفع لقطات الشاشة
-
Trust Wallet: تحتوي على مفتاح API مرتبط بشبكة Ramp للعملات المشفرة
المخاطر المحتملة:
-
اعتراض البيانات الحساسة على شبكات الواي فاي العامة
-
استغلال المفاتيح المسربة لتنفيذ هجمات إلكترونية
-
تضخيم تكاليف استخدام واجهات برمجة التطبيقات للمطورين
-
إمكانية استضافة محتوى غير قانوني باستخدام المفاتيح المسربة
ردود المطورين:
-
أكدت Equatio أن المفتاح المسرب محدود الاستخدام ولا يعرض بيانات المستخدمين للخطر
-
أوضحت Trust Wallet أن المفتاح المستخدم لا يسمح بالوصول إلى البيانات الحساسة
-
ذكرت شبكة Ramp أن المفتاح المسرب ليس معلومات سرية ولا يؤثر على أمان المستخدمين
