Extensões populares do Chrome expõem dados sensíveis e chaves de API

Pesquisadores de cibersegurança da Symantec emitiram um alerta preocupante sobre vulnerabilidades em diversas extensões populares do Google Chrome, que colocam em risco a privacidade e a segurança de milhões de usuários. Essas extensões, amplamente utilizadas, transmitem dados sensíveis por meio de conexões HTTP não criptografadas e incorporam chaves de API, credenciais e tokens diretamente em seus códigos, expondo informações como domínios de navegação, identificadores de máquinas, detalhes de sistemas operacionais e até análises de uso.

Essas falhas abrem portas para hackers explorarem dados interceptados ou manipularem serviços, com consequências que vão desde aumento de custos para desenvolvedores até ataques sofisticados, como phishing direcionado.

Segundo Yuanjing Guo, da equipe de Tecnologia de Segurança e Resposta da Symantec, extensões como SEMRush Rank, PI Rank, Browsec VPN, MSN Nova Guia e DualSafe Password Manager utilizam HTTP para transmitir informações sensíveis, como IDs de máquina e detalhes de uso, em texto simples. Essa prática as torna vulneráveis a ataques de intermediários (man-in-the-middle), nos quais hackers em redes não seguras, como Wi-Fi público, podem interceptar ou alterar dados.

“Embora credenciais ou senhas não sejam diretamente vazadas, o uso de solicitações não criptografadas por um gerenciador de senhas, como o DualSafe, compromete a confiança em sua segurança”, destacou Guo.

A ausência de criptografia expõe os usuários a riscos como criação de perfis maliciosos e ataques direcionados.

Além disso, a Symantec identificou um grupo de extensões que incorporam chaves de API e credenciais diretamente no código JavaScript, permitindo que hackers as utilizem para ações maliciosas.

Extensões como AVG Online Security, Speed Dial [FVD], SellerSprite e Microsoft Editor expõem segredos de serviços como Google Analytics 4 (GA4), Microsoft Azure e Amazon Web Services (AWS). Por exemplo, a extensão Equação – Matemática Digitalizada revela uma chave de API do Azure que pode ser usada para inflar custos de desenvolvedores, enquanto o Awesome Screen Recorder & Screenshot expõe credenciais de acesso ao AWS S3, permitindo o envio de capturas de tela a buckets comprometidos.

O Conector Antidote, que utiliza a biblioteca InboxSDK, é apenas uma das mais de 90 extensões afetadas por credenciais codificadas, ampliando a escala do problema.

Os riscos associados a essas vulnerabilidades são significativos. Hackers podem usar chaves de API expostas para aumentar custos de serviços, hospedar conteúdo ilegal, falsificar dados de telemetria ou até simular transações de criptomoedas, como no caso da extensão Trust Wallet, que expõe uma chave da Ramp Network.

Essas ações podem levar a prejuízos financeiros e até ao banimento de desenvolvedores de plataformas. “Cada trecho de código com credenciais confidenciais pode comprometer um serviço inteiro”, alertou Guo, recomendando que desenvolvedores adotem HTTPS, armazenem credenciais em servidores backend seguros e rotacionem segredos regularmente para mitigar riscos.

As descobertas sublinham que até extensões com grandes bases de usuários, como as que acumulam centenas de milhares de instalações, podem sofrer com erros básicos de configuração.

A Symantec aconselha que os usuários considerem desinstalar essas extensões até que os desenvolvedores corrijam as falhas, como a transição para HTTPS e a remoção de credenciais codificadas.

A lição é clara: uma marca conhecida ou alta popularidade não garantem segurança. Usuários e empresas devem examinar cuidadosamente as extensões que utilizam, verificando os protocolos de comunicação e as práticas de armazenamento de dados para proteger informações sensíveis.

Via - THN