Nhiều tiện ích Chrome rò rỉ dữ liệu người dùng, tăng nguy cơ mất an toàn thông tin

WhiteHat Team

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
99
835 bài viết
Nhiều tiện ích Chrome rò rỉ dữ liệu người dùng, tăng nguy cơ mất an toàn thông tin
WhiteHat Team
Các nhà nghiên cứu an ninh mạng gần đây đã phát hiện ra một số tiện ích Chrome phổ biến đang truyền tải dữ liệu người dùng nhạy cảm thông qua giao thức HTTP không mã hóa và có chứa thông tin bảo mật cứng trong mã nguồn, gây ra các rủi ro nghiêm trọng về quyền riêng tư và bảo mật.

Yuanjing Guo, một nhà nghiên cứu cho biết rằng các tiện ích này vô tình truyền tải thông tin nhạy cảm như tên miền duyệt web, ID máy tính, chi tiết hệ điều hành, phân tích sử dụng, thậm chí là thông tin gỡ cài đặt dưới dạng văn bản không mã hóa. Việc truyền tải dữ liệu không được mã hóa làm tăng khả năng bị tấn công Adversary-in-the-Middle. Các cuộc tấn công này có thể xảy ra trên mạng chung, chẳng hạn như Wi-Fi công cộng, cho phép các đối tượng độc hại chặn và thậm chí sửa đổi dữ liệu này, dẫn đến những hậu quả nghiêm trọng.

1749191303773.png

Danh sách các tiện ích bị phát hiện có lỗ hổng gồm:
  1. SEMRush Rank và PI Rank: Truyền tải dữ liệu qua HTTP đến miền "rank.trellian[.]com".
  2. Browsec VPN: Gọi URL gỡ cài đặt qua HTTP khi người dùng cố gắng gỡ bỏ tiện ích.
  3. MSN New Tab và MSN Homepage: Truyền tải ID máy tính duy nhất và các chi tiết khác qua HTTP đến "g.ceipmsn[.]com".
  4. DualSafe Password Manager & Digital Vault: Gửi yêu cầu HTTP đến "stats.itopupdate[.]com" kèm theo thông tin về phiên bản tiện ích, ngôn ngữ trình duyệt và kiểu sử dụng.
Mặc dù chưa có mật khẩu hay thông tin đăng nhập nào bị rò rỉ, nhưng việc sử dụng các yêu cầu không mã hóa trong công cụ quản lý mật khẩu vẫn làm giảm niềm tin vào bảo mật tổng thể.

Hơn nữa, một số tiện ích có chứa các khóa API, secrets và tokens được nhúng trực tiếp trong mã JavaScript mà kẻ tấn công có thể lợi dụng để tạo các yêu cầu độc hại và thực hiện nhiều hành động nguy hiểm, bao gồm:
  • Online Security & Privacy (ID: gomekmidlodglbbmalcneegieacbdmki), AVG Online Security (ID: nbmoafcmbajniiapeidgficgifbfmjfo), Speed Dial [FVD] (ID: llaficoajjainaijghjlofdfmbjpebpa) và SellerSprite - Amazon Research Tool (ID: lnbmbgocenenhhhdojdielgnmeflbnfb) tiết lộ khóa API Google Analytics 4 (GA4) cứng, cho phép kẻ tấn công tấn công vào endpoint GA4 và làm sai lệch các chỉ số.
  • Equatio – Math Made Digital (ID: hjngolefdpdnooamgdldlkjgmdcmcjnc) nhúng khóa API Microsoft Azure cho nhận diện giọng nói mà kẻ tấn công có thể lợi dụng để làm tăng chi phí hoặc cạn kiệt giới hạn sử dụng.
  • Awesome Screen Recorder & Screenshot (ID: nlipoenfbbikpbjkfpfillcgkoblgpmj) và Scrolling Screenshot Tool & Screen Capture (ID: mfpiaehgjbbfednooihadalhehabhcjo) tiết lộ khóa truy cập AWS của nhà phát triển dùng để tải ảnh chụp màn hình lên S3 bucket.
  • Microsoft Editor - Spelling & Grammar Checker (ID: gpaiobkfhnonedkhhfjpmhdalgeoebfa) tiết lộ khóa telemetry ("StatsApiKey") dùng để ghi nhận dữ liệu người dùng.
  • Antidote Connector (ID: lmbopdiikkamfphhgcckcjhojnokgfeo) sử dụng thư viện InboxSDK, chứa các thông tin bảo mật cứng, bao gồm khóa API.
  • Watch2Gether (ID: cimpffimgeipdhnhjohpbehjkcdpjolg) tiết lộ khóa API tìm kiếm GIF của Tenor.
  • Trust Wallet (ID: egjidjbpglichdcondbcbdnbeeppgdph) tiết lộ khóa API liên kết với Ramp Network, một nền tảng Web3 cho phép người dùng mua hoặc bán tiền điện tử.
  • TravelArrow – Your Virtual Travel Agent (ID: coplmfnphahpcknbchcehdikbdieognn) tiết lộ khóa API định vị khi thực hiện truy vấn đến "ip-api[.]com".
Kẻ tấn công có thể lợi dụng các khóa này để làm tăng chi phí API, tải lên nội dung trái phép, gửi dữ liệu telemetry giả mạo hoặc thực hiện các giao dịch tiền điện tử giả mạo.

Ngoài ra, Antidote Connector là một trong hơn 90 tiện ích sử dụng thư viện InboxSDK chứa các thông tin bảo mật cứng, khiến các tiện ích khác cũng dễ bị tấn công. Danh sách các tiện ích bị ảnh hưởng còn lại chưa được công khai.

Khuyến cáo cho người dùng và các nhà phát triển:

  • Người dùng nên cân nhắc gỡ bỏ các tiện ích bị ảnh hưởng cho đến khi các nhà phát triển khắc phục các cuộc gọi HTTP không an toàn.
  • Các nhà phát triển nên chuyển sang sử dụng các giao thức an toàn như HTTPS khi gửi hoặc nhận dữ liệu, lưu trữ thông tin bảo mật ở máy chủ phía sau và thường xuyên thay đổi khóa bảo mật.
  • Việc kiểm tra thường xuyên các tiện ích là cần thiết để đảm bảo rằng chúng tuân thủ các phương pháp bảo mật tốt nhất, bảo vệ thông tin người dùng khỏi các mối đe dọa.
Những phát hiện này cho thấy rằng ngay cả những tiện ích phổ biến với hàng trăm nghìn lượt cài đặt cũng có thể gặp phải các lỗi cấu hình cơ bản, khiến dữ liệu người dùng bị rủi ro. Những lỗ hổng này là lời nhắc nhở về mã hóa phải là một chuẩn mực, đặc biệt đối với các công cụ web được sử dụng rộng rãi.

Theo The Hacker News
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • Adobe vá hàng loạt lỗ hổng nghiêm trọng trên nhiều sản phẩm
  • GNU Screen dính nhiều lỗ hổng gây lo ngại leo thang đặc quyền và chiếm quyền TTY
  • Nhiều thiết bị Android giả mạo bị gài mã độc Triada trước khi đến tay người dùng
  • Nhiều lỗ hổng đe dọa KNIME Business Hub - Cập nhật ngay!
  • Lỗ hổng trong WinZip có thể gây ra nhiều rủi ro an ninh mạng
  • Người dùng Samsung cần cập nhật ngay bản vá cho nhiều lỗ hổng nghiêm trọng
    • Thẻ
    adversary-in-the-middle (aitm) dữ liệu người dùng https javascript khóa api secrets tiện ích chrome tokens
    Bên trên