Populaire Chrome-extensies lekken gegevens via ongecodeerde verbindingen

Uit recent onderzoek is gebleken dat verschillende veelgebruikte extensies voor Google Chrome vertrouwelijke gebruikersgegevens via ongecodeerde HTTP-verbindingen verzenden. Hierdoor worden miljoenen gebruikers blootgesteld aan ernstige privacy- en beveiligingsrisico's.

De bevindingen, gepubliceerd door cybersecurityonderzoekers en beschreven in een blogpost van Symantec, laten zien hoe extensies zoals:

PI-rang (ID: ccgdboldgdlngcgfdolahmiilojmfndl)

Browsec VPN (ID: omghfjlpggmjjaagoclmmobgdodcjboh )

MSN Nieuw Tabblad (ID: lklfbkdigihjaaeamncibechhgalldgl)

SEMRush-rang ( ID: idbhoeaiokcojcgappfigpifhpkjgmab )

DualSafe wachtwoordbeheerder en digitale kluis (ID: lgbjhdkjmpgjgcbcdlhkokkckpjmedgc)

Er zijn ook andere extensies die gebruikersgegevens op een manier verwerken die de deur opent voor afluisteren, profileren en andere aanvallen.

Deze extensies zijn weliswaar legitiem en bedoeld om gebruikers te helpen bij het monitoren van webrankings, het beheren van wachtwoorden en het verbeteren van hun surfervaring, maar achter de schermen worden netwerkverzoeken uitgevoerd zonder encryptie. Zo kan iedereen op hetzelfde netwerk precies zien wat er wordt verzonden.

In sommige gevallen omvat dit details zoals de domeinen die een gebruiker bezoekt, informatie over het besturingssysteem, unieke machine-ID's en telemetriegegevens. Nog verontrustender is dat verschillende extensies ook hardgecodeerde API-sleutels , geheimen en tokens in hun broncode hebben gevonden, waardevolle informatie die aanvallers gemakkelijk kunnen misbruiken.

Wanneer extensies gegevens verzenden via HTTP in plaats van HTTPS , wordt de informatie in platte tekst over het netwerk verzonden. Op een openbaar wifi-netwerk kan een kwaadwillende gebruiker die gegevens bijvoorbeeld moeiteloos onderscheppen. Sterker nog, ze kunnen de gegevens tijdens de overdracht wijzigen.

Dit opent de deur voor aanvallen die veel verder gaan dan spionage. Volgens de blogpost van Symantec worden in het geval van Browsec VPN, een populaire privacygerichte extensie met meer dan zes miljoen gebruikers, bij het gebruik van een HTTP-eindpunt tijdens het verwijderingsproces gebruikers-ID's en gebruiksstatistieken zonder encryptie verzonden. De configuratie van de extensie maakt het mogelijk om verbinding te maken met onveilige websites, waardoor het aanvalsoppervlak verder wordt vergroot.

Andere extensies maken zich schuldig aan vergelijkbare problemen. SEMRush Rank en PI Rank, beide ontworpen om de populariteit van websites te tonen, bleken volledige URL's van bezochte websites via HTTP naar servers van derden te sturen. Dit maakt het voor een netwerkobservator eenvoudig om gedetailleerde logs van het surfgedrag van een gebruiker samen te stellen.

MSN New Tab en MSN Homepage, met honderdduizenden gebruikers, verzenden machine-ID's en andere apparaatgegevens. Deze identificatiegegevens blijven stabiel, waardoor kwaadwillenden meerdere sessies aan elkaar kunnen koppelen en profielen kunnen opbouwen die tijdens het browsen behouden blijven.

Zelfs DualSafe Password Manager, dat van nature gevoelige informatie verwerkt, werd betrapt op het versturen van telemetriegegevens via HTTP . Hoewel er geen wachtwoorden zijn gelekt, baart het feit dat een deel van de extensie gebruikmaakt van ongecodeerd verkeer zorgen over het algehele ontwerp.

Patrick Tiquet , Vice President Security & Architecture bij Keeper Security, gaf hierover het volgende commentaar: " Dit incident benadrukt een kritieke lacune in de beveiliging van extensies – zelfs populaire Chrome-extensies kunnen gebruikers in gevaar brengen als ontwikkelaars bezuinigen. Het verzenden van gegevens via ongecodeerde HTTP en het hardcoderen van geheimen stelt gebruikers bloot aan profilering, phishing en aanvallen van tegenstanders – vooral op onbeveiligde netwerken. "

Hij waarschuwde voor de gevolgen voor nietsvermoedende gebruikers en adviseerde dat " organisaties onmiddellijk actie moeten ondernemen door strikte controles af te dwingen op het gebruik van browserextensies, geheimen veilig te beheren en te controleren op verdacht gedrag op alle eindpunten. "

Hoewel geen van de extensies wachtwoorden of financiële gegevens rechtstreeks lekte, is het blootleggen van machine-identificatiegegevens, surfgedrag en telemetrie verre van ongevaarlijk. Aanvallers kunnen deze gegevens gebruiken om gebruikers op verschillende websites te volgen, gerichte phishingcampagnes te voeren of apparaattelemetrie te imiteren voor kwaadaardige doeleinden.

Hoewel theoretisch, hebben de nieuwste bevindingen van NordVPN meer dan 94 miljard browsercookies op het dark web ontdekt. ​​In combinatie met de door Symantec aan het licht gebrachte datalekken is de kans op schade aanzienlijk.

Ontwikkelaars die hardgecodeerde API-sleutels of geheimen in hun extensies opnemen, voegen een extra risico toe. Als een aanvaller deze inloggegevens in handen krijgt, kan hij ze misbruiken om de extensie na te bootsen, vervalste gegevens te versturen of zelfs het servicegebruik te verhogen, wat kan leiden tot financiële kosten of accountblokkeringen voor de ontwikkelaars.

Symantec heeft contact opgenomen met de betrokken ontwikkelaars en alleen DualSafe Password Manager heeft het probleem opgelost. Gebruikers die een van de betrokken extensies hebben geïnstalleerd, wordt echter geadviseerd deze te verwijderen totdat de ontwikkelaars de problemen hebben opgelost. Zelfs populaire en goed beoordeelde extensies kunnen onveilige ontwerpkeuzes maken die jarenlang onopgemerkt blijven.

Hckread.com raadt aan om de rechten te controleren die een extensie vereist, onbekende uitgevers te vermijden en een betrouwbare beveiligingsoplossing te gebruiken. Bovenal moet elke tool die privacy of beveiliging belooft, zorgvuldig worden onderzocht op de manier waarop deze met uw gegevens omgaat.