jueves, noviembre 6, 2025

Popular CHROME EXTENSIONS LEGLE API CLAVES, datos del usuario a través de HTTP y credenciales codificados

TecnologíaPopular CHROME EXTENSIONS LEGLE API CLAVES, datos del usuario a través de HTTP y credenciales codificados
Popular CHROME EXTENSIONS LEGLE API CLAVES, datos del usuario a través de HTTP y credenciales codificados
Por Actualidadaldía

Los investigadores de ciberseguridad han marcado varias extensiones populares de Google Chrome que se ha encontrado que transmiten datos en HTTP y secretos de código duro en su código, exponiendo a los usuarios a los riesgos de privacidad y seguridad.

«Varias extensiones ampliamente utilizadas (…) transmiten involuntariamente datos confidenciales a través de HTTP simple», dijo Yuanjing Guo, investigador de seguridad en el equipo de tecnología y respuesta de seguridad de Symantec. «Al hacerlo, exponen dominios de navegación, ID de máquina, detalles del sistema operativo, análisis de uso e incluso información desinstalada, en texto sin formato».

El hecho de que el tráfico de la red no se cifre también significa que son susceptibles a los ataques adversarios en el medio (AITM), lo que permite a los actores maliciosos en la misma red, como un Wi-Fi público para interceptar y, peor, modificar estos datos, lo que podría conducir a consecuencias mucho más graves.

La lista de extensiones identificadas está a continuación –

  • Rango de semrush (ID de extensión: Idbhoeaiokcojcgappfigpifhpkjgmab) y Pi rank (ID: ccgdBoldgdlngcgfdolahmiilOjmfndl), que llaman a la url «rank.trellian (.) Compi
  • BROWSEC VPN (ID: OMGHFJLPGGMJJAAGOCLMMOBGDODCJBOH), que usa HTTP para llamar a una URL de desinstalación en «Browsec-Uninstall.S3-Website.eu-Central-1.Amazonaws (.) Com» cuando un usuario intenta una incrustación de la extensión Extensión
  • MSN nueva pestaña (ID: LKLFBKDIGIHJAAEAMNCIBECHHGALLDGL) y MSN Home Page, Bing Search & News (ID: MidiombanaceOfjHodpDiBeppmnamfcj), que transmite un identificador de máquina único y otros detalles sobre HTTP a «G.CEIPMSN (.) Com»
  • DualSafe Password Manager & Digital Vault (ID: LGBJHDKJMPGJGCBCDLHKKKKCKPJMEDGC), que construye una solicitud de URL basada en HTTP para «stats.itopupdate (.)»

«Aunque las credenciales o contraseñas no parecen filtrarse, el hecho de que un administrador de contraseñas utiliza solicitudes de telemetría no cifradas erosiona la confianza en su postura de seguridad general», dijo Guo.

Symantec dijo que también identificó otro conjunto de extensiones con claves API, secretos y tokens directamente incrustados en el código de JavaScript, que un atacante podría armar para crear solicitudes maliciosas y llevar a cabo varias acciones maliciosas,

  • Extensión de seguridad y privacidad en línea (ID: gomekmidlodglbbmalcNeegieAcbdmki), AVG Security Online (ID: NBMOAFCMBAJNIIAPEIDGFICGIFBFMJFO), Speed ​​dial (fvd) – nueva tabla, 3D, sinc (id: llaficoajJaRAJJGHJLOFDFFMBMBJAfMBJ, ya SellersPrite – Amazon Research Tool (ID: Lnbmbgocenenhhhdojdielgnmeflbnfb), que expone un secreto de la API de Google Analytics 4 (GA4) codificada que un atacante podría usar para bombardear el punto final GA4 y los métricos corruptos

  • Equatio – Matemáticas Digital (ID: Hjngolefdpdnooamgdldlkjgmdcmcjnc), que incorpora una clave API de Microsoft Azure utilizada para el reconocimiento de voz que un atacante podría usar para inflar los costos del desarrollador u agotar sus limitaciones de uso

  • Awesome Screen Recorder & Screenshot (ID: NlipoenfbBiKpbjkfpfillcgkoblgpmj) y desplazamiento de la herramienta de captura de pantalla y captura de pantalla (ID: mfpiaehgjbbfednooihadalhehabhcjo), que expone los servicios de acceso web amazon del desarrollador (aws) se usa a la pantalla de acceso a la altura de la altura de la altura de la altura de la altura de la altura de la altura de la altura de la altura de la altura de la altura de la altura de la altura de la altura de la altura.

  • Editor de Microsoft – Refector de ortografía y gramática (ID: Gpaiobkfhnonedkhfjpmhdalgeoebfa), que expone una clave de telemetría llamada «Statsapikey» para registrar los datos del usuario para analíticos

  • Connector Antídoto (ID: LMBOPDIIKKAMFHGCCKCJHOJNOKGFEO), que incorpora una biblioteca de terceros llamada InBoBoTsDK que contiene credenciales codificadas, incluidas las teclas API.

  • Watch2gether (id: cimpffimgeipdhnhjohpbehjkcdpjolg), que expone una tecla API de búsqueda GIF tenor

  • Trust Wallet (ID: egjidjbpglichdcondbcbdnbeppgdph), que expone una clave API asociada con la red RAMP, una plataforma Web3 que ofrece a los desarrolladores de billetera una forma de permitir a los usuarios comprar o vender Crypto directamente desde la aplicación

  • Travelarrow-Su agente de viajes virtual (ID: COPLMFNPHAHPCKNBCHCEHDIKBDIEOGNN), que expone una clave API de geolocalización al hacer consultas a «ip-api (.) Com»

Los atacantes que terminan encontrando estas claves podrían armarse para aumentar los costos de API, alojar contenido ilegal, enviar datos de telemetría falsificados e imitar las órdenes de transacción de criptomonedas, algunas de las cuales podrían ver que la prohibición del desarrollador se prohíbe.

Además de la preocupación, el conector antídoto es solo una de las más de 90 extensiones que usan INBOXSDK, lo que significa que las otras extensiones son susceptibles al mismo problema. Symantec no reveló los nombres de las otras extensiones.

«Desde los secretos de análisis de GA4 hasta las claves de habla Azure, y desde las credenciales de AWS S3 hasta los tokens específicos de Google, cada uno de estos fragmentos demuestra cómo algunas líneas de código pueden poner en peligro un servicio completo», dijo Guo. «La solución: nunca almacene credenciales confidenciales en el lado del cliente».

Se recomienda a los desarrolladores que cambien a HTTPS siempre que envíen o reciban datos, almacenan credenciales de forma segura en un servidor de backend utilizando un servicio de administración de credenciales y gire regularmente secretos para minimizar aún más el riesgo.

Los hallazgos muestran cómo incluso las extensiones populares con cientos de miles de instalaciones pueden sufrir de configuraciones erróneas triviales y errores de seguridad como credenciales codificadas, dejando en riesgo los datos de los usuarios.

«Los usuarios de estas extensiones deben considerar eliminarlos hasta que los desarrolladores aborden las llamadas inseguras (HTTP)», dijo la compañía. «El riesgo no es solo teórico; el tráfico no cifrado es fácil de capturar, y los datos se pueden usar para perfilar, phishing u otros ataques específicos».

«La lección general es que una gran base de instalación o una marca bien conocida no garantiza necesariamente las mejores prácticas en torno al cifrado. Las extensiones deben analizarse para los protocolos que usan y los datos que comparten, para garantizar que la información de los usuarios siga siendo realmente segura».

Artículos más populares

Sobre nosotras

Bienvenidos a actualidadaldía, tu fuente confiable de información actualizada y relevante. Nos dedicamos a mantenerte informado con las noticias más importantes y destacadas, ofreciendo contenido que refleja la realidad de nuestro mundo en constante cambio.

Temas

Últimas noticias

No en dólares estadounidenses, los BRICS realizan el 99,1% de los...

Criptomonedas 0
Los pagos comerciales de China y Rusia, miembros del...

Alcaraz agrupado con Djokovic, Sinner con Zverev en las Finales ATP

Deporte 0
TURÍN, Italia - Carlos Alcaraz, primer favorito, quedó encuadrado...

Reseña de ‘Belén’: la directora y estrella Dolores Fonzi convierte un...

Entretenimiento 0
Diga: Dolor Fonzi. Argentino. 2025. 107 minutos En marzo de...

Noticias populares

© 2025 Todos los derechos reservados | Desarrollado por Actualidadaldía