Chrome擴充功能潛藏資安陷阱！受影響的範圍一次看

賽門鐵克近日發出警告，指出數款廣受用戶青睞的Google Chrome瀏覽器擴充功能，存在著資安漏洞。記者孫敬／編譯

根據外媒報導，全球資安研究公司Symantec（賽門鐵克）近日發出警告，指出數款廣受用戶青睞的Google Chrome瀏覽器擴充功能，存在著資安漏洞，而這些漏洞主要分為兩大類：透過未加密的HTTP連線傳輸敏感數據，以及在JavaScript程式碼嵌入了關鍵的機密金鑰。

延伸閱讀：微軟推出全新「歐洲安全計畫」 結合AI共享威脅情報強化資安

熱門Chrome擴充功能現資安漏洞，數據傳輸與機密金鑰存高風險

賽門鐵克的安全研究員Yuanjing Guo表示，部分擴充功能在數據傳輸時，未能使用安全的HTTPS加密協定，仍採用傳統的HTTP。這使得用戶的瀏覽網域、機器識別碼、作業系統細節、使用分析數據，甚至是解除安裝資訊，都以明文形式在網路中傳輸。如此一來，數據極易受到「中間人攻擊」（AitM）的威脅，讓惡意份子在同一網路環境下（如公共Wi-Fi）輕易攔截、甚至竄改數據，可能導致嚴重後果。

受影響的擴充功能包括：SEMRush Rank、PI Rank、Browsec VPN、MSN New Tab、MSN Homepage, Bing Search & News。特別值得注意的是，DualSafe Password Manager & Digital Vault這款密碼管理器，儘管未直接洩露用戶密碼，其遙測數據卻透過未加密的HTTP傳輸，嚴重損害了其作為安全工具的信任度。

程式碼硬編碼機密金鑰，潛在攻擊面擴大

除了未加密數據傳輸，賽門鐵克還發現另一類擴充功能存在更嚴重的漏洞：它們直接將API金鑰、機密和代幣等敏感資訊寫死（Hard-coded）在JavaScript程式碼中，攻擊者可依此送出惡意請求並執行多種攻擊行為。

這類漏洞可能造成的潛在風險包括：

• 服務濫用與成本暴增： 攻擊者可利用外洩的GA4 API金鑰（如 Online Security & Privacy extension、AVG Online Security 等）進行攻擊；或利用Azure語音辨識API金鑰（如 Equatio – Math Made Digital）消耗開發者的服務額度或增加成本。


• 非法訪問與內容上傳： 某些擴充功能（如Awesome Screen Recorder & Screenshot和Scrolling Screenshot Tool & Screen Capture）暴露了AWS存取金鑰，可能導致攻擊者未經授權訪問雲端儲存空間。


• 用戶數據追蹤與模擬交易： Microsoft Editor遭爆出遠端遙控金鑰；Trust Wallet則流出了Web3平台Ramp Network的API金鑰，恐被用於模擬加密貨幣交易訂單。


• 第三方函式庫連帶風險： Antidote Connector 等擴充功能使用的InboxSDK函式庫，也含有硬編碼憑證，且有超過90個擴充功能使用此函式庫，風險影響範圍廣泛。

這篇文章 Chrome擴充功能潛藏資安陷阱！受影響的範圍一次看 最早出現於 科技島-掌握科技新聞、科技職場最新資訊。