【安全资讯】Chrome扩展程序中的安全漏洞：硬编码凭证的隐藏危险

概要：

近日，安全研究人员发现多个流行的Chrome扩展程序中存在硬编码凭证的安全漏洞，这些漏洞可能导致严重的数据泄露和资源滥用。这些扩展程序包括Avast Online Security、AVG Online Security、Equatio等，用户数量从数十万到数百万不等。硬编码的API密钥、令牌和秘密一旦暴露，攻击者可以利用它们进行恶意请求，导致数据污染、资源滥用甚至财务损失。

主要内容：

研究人员发现，多个Chrome扩展程序在其JavaScript代码中硬编码了敏感凭证，如Google Analytics 4 (GA4) API密钥、Azure API密钥和AWS访问密钥。例如，Avast Online Security和AVG Online Security扩展中硬编码了GA4 API密钥，攻击者可以利用这些密钥向GA4端点发送虚假事件，污染数据或增加分析成本。

Equatio扩展中嵌入了用于语音识别的Azure API密钥，攻击者可以通过重放或滥用这些调用导致开发者的Azure订阅费用激增或资源耗尽。Awesome Screen Recorder和Scrolling Screenshot Tool扩展中暴露了AWS S3访问密钥，攻击者可能上传非法内容或恶意文件，甚至进一步入侵AWS环境。

此外，Microsoft Editor扩展中暴露了用于分析用户数据的遥测密钥，攻击者可以伪造遥测数据，干扰开发者的分析结果。Trust Wallet扩展中暴露的加密货币交易API密钥可能导致攻击者操纵交易报价或拦截真实交易。这些漏洞的共同点是开发者将敏感凭证直接嵌入客户端代码，而非通过安全的服务器端进行验证。

目前，部分扩展如Antidote Connector和Watch2Gether已修复漏洞，移除了硬编码密钥并采用更安全的认证流程。安全专家建议开发者避免在客户端存储敏感凭证，转而使用安全的服务器端验证机制，并定期轮换密钥以降低风险。