賽門鐵克威脅獵手團隊最新報告披露，數(shù)款擁有數(shù)百萬活躍用戶的Chrome擴展程序正在通過未加密的HTTP連接靜默泄露用戶敏感數(shù)據(jù)，嚴重威脅用戶隱私安全。

知名擴展程序存在明文傳輸風險

盡管宣稱提供安全瀏覽、數(shù)據(jù)分析或便捷界面等功能，但SEMRush Rank、PI Rank、MSN新標簽頁、Browsec VPN和DualSafe密碼管理器等擴展程序正在以明文形式傳輸關鍵信息，包括瀏覽域名、設備ID、操作系統(tǒng)詳情和使用分析數(shù)據(jù)，使用戶面臨中間人攻擊（MITM）風險。

其中兩款SEO工具——SEMRush Rank和PI Rank——被發(fā)現(xiàn)通過HTTP將用戶訪問的域名直接發(fā)送至rank.trellian.com，域名數(shù)據(jù)被附加在查詢字符串中。每當用戶使用排名功能時，這些請求就會將瀏覽行為暴露給任何能夠監(jiān)控網(wǎng)絡流量的第三方。

報告警告稱："由于HTTP不提供加密，任何能夠嗅探網(wǎng)絡流量的人都可以讀取這些域名信息。"

VPN擴展竟成數(shù)據(jù)泄露源頭

更令人意外的是擁有600萬用戶的Browsec VPN擴展，這款標榜提供"安全私密網(wǎng)絡體驗"的產(chǎn)品，其卸載過程竟通過HTTP泄露使用統(tǒng)計數(shù)據(jù)和唯一用戶ID。

Browsec VPN在后臺代碼中設置了卸載URL | 圖片來源：賽門鐵克

報告指出："該擴展設置了卸載URL...默認指向HTTP端點...并附加了使用統(tǒng)計數(shù)據(jù)和唯一用戶ID。"此外，Browsec的清單文件允許連接數(shù)十個不安全的HTTP端點，與其VPN品牌定位形成鮮明矛盾。

微軟系擴展泄露設備指紋

微軟旗下的MSN新標簽頁和MSN主頁擴展程序被發(fā)現(xiàn)泄露持久性設備ID、操作系統(tǒng)類型和版本號。報告強調(diào)："網(wǎng)絡上的被動監(jiān)聽者很容易收集這些ID...進而建立精細的用戶畫像。"這些安裝量超過50萬的擴展程序會長期暴露單個用戶的重復請求，實質(zhì)上構(gòu)建了設備指紋和瀏覽習慣檔案。

密碼管理器也未能幸免

即便是DualSafe密碼管理器與數(shù)字保險庫這類安全工具，也被發(fā)現(xiàn)向stats.itopupdate.com發(fā)送未加密的遙測數(shù)據(jù)，包括擴展版本、瀏覽器語言和使用類型。雖然未觀察到憑證信息傳輸，但密碼管理器通過不安全渠道泄露任何遙測數(shù)據(jù)的諷刺現(xiàn)象引起了研究人員關注。

報告指出："密碼管理器使用未加密請求傳輸遙測數(shù)據(jù)的事實，削弱了對其整體安全態(tài)勢的信任。"目前DualSafe團隊已修復該漏洞，將所有外發(fā)遙測數(shù)據(jù)切換為HTTPS傳輸。

安全專家發(fā)出緊急警告

報告最后向用戶和開發(fā)者發(fā)出警告："未加密流量極易被實施中間人攻擊的惡意方獲取...這種風險絕非理論假設。"賽門鐵克建議受影響擴展程序的用戶立即卸載，除非開發(fā)者已發(fā)布更新改用加密通信。開發(fā)者被敦促默認采用HTTPS，特別是在處理任何用戶相關數(shù)據(jù)時——即使是分析數(shù)據(jù)也不例外。