賽門鐵克（Symantec）在近期一項大規模安全調查中發現，Chrome應用商店存在一個令人擔憂的現象：大量瀏覽器擴展的源代碼中直接嵌入了硬編碼的API密鑰、密鑰憑證和令牌。這一疏忽已累計影響超過全球兩千萬用戶，可能導致數據篡改、未授權訪問、財務損失，甚至給開發者帶來聲譽損害。

安全隱患全面曝光

賽門鐵克專家指出："這些密鑰一旦發布，任何有意者都能輕易獲取——攻擊者只需檢查擴展安裝包即可提取。"從云資源到分析終端，這些被嵌入的密鑰可能被濫用于多種場景，包括垃圾郵件服務、篡改遙測數據乃至接管基礎設施。

調查顯示多個知名Chrome擴展存在密鑰暴露問題，以下是關鍵發現：

（顯示硬編碼Google Analytics 4 API密鑰的代碼片段 | 圖片來源：賽門鐵克）

高危擴展案例盤點

(1) Avast & AVG Online Security（合計700萬+用戶）

• 漏洞類型：硬編碼Google Analytics 4 API密鑰
• 風險："攻擊者可向GA4終端發送虛假事件，破壞指標數據或推高分析成本"

(2) Equatio數學工具（500萬+用戶）

• 漏洞：暴露Azure語音識別API密鑰
• 風險："惡意用戶若重復調用該接口，可能導致開發者Azure訂閱服務產生超額費用"

(3) Awesome Screenshot截圖工具（340萬+用戶）

• 漏洞：內嵌AWS S3訪問密鑰
• 風險："攻擊者可編寫腳本上傳非法內容、惡意文件，甚至滲透其他AWS資源"

(4) Microsoft Editor編輯器（200萬+用戶）

• 漏洞：泄露遙測密鑰
• 風險："持有該密鑰者可生成偽造遙測數據，耗盡資源或鎖定開發者分析系統"

其他受影響擴展

• Antidote Connector（100萬+用戶）：通過InboxSDK暴露Google API密鑰，可能被用于操縱Gmail數據
• Watch2Gether（100萬+用戶）：Tenor GIF搜索API密鑰暴露，可能導致開發者賬戶被API服務封禁
• Trust Wallet錢包（100萬+用戶）：法幣通道API密鑰泄露，攻擊者可偽造加密貨幣交易請求
• TravelArrow（30萬用戶）：地理位置API密鑰暴露，可能產生高額賬單或導致API訪問權限被禁用

專業安全建議

賽門鐵克強調："切勿在客戶端存儲敏感憑證，應通過安全后端服務器路由特權操作。"開發者將密鑰直接嵌入代碼的行為，無異于主動邀請攻擊者利用服務、耗盡資源或破壞隱私。報告總結稱："清除暴露的密鑰...既能維護用戶信任，又可避免經濟損失，同時確保產品的分析結果安全可靠。"