Popüler Chrome Eklentileri API Anahtarlarını ve Kullanıcı Verilerini Sızdırıyor: İşte Risk Altındaki Uzantılar ve Çözüm Önerileri

Symantec’in siber güvenlik ekibi, milyonlarca kullanıcıya sahip popüler Google Chrome eklentilerinin hassas verileri şifrelenmemiş HTTP üzerinden aktardığını ve API anahtarlarını kod içinde açıkça sakladığını tespit etti. Bu güvenlik açıkları, kullanıcıların kişisel bilgilerinin yanı sıra bulut hizmetlerinin kötüye kullanılmasına yol açabilecek riskler barındırıyor. İşte, tehlikeli eklentiler ve alınması gereken önlemler:

HTTP ile Veri Sızdıran Eklentiler

Aşağıdaki eklentiler, şifrelenmemiş HTTP bağlantıları üzerinden kullanıcı verilerini sızdırıyor:

1. SEMRush Rank & PI Rank:
   • Sızdırılan Veri: Tarama geçmişi, makine kimliği.
   • Hedef URL: rank.trellian[.]com (HTTP).
2. Browsec VPN:
   • Sızdırılan Veri: Kaldırma işlemi sırasında kullanıcı bilgileri.
   • Hedef URL: browsec-uninstall.s3-website.eu-central-1.amazonaws[.]com (HTTP).
3. MSN New Tab & Bing Search:
   • Sızdırılan Veri: Benzersiz makine kimliği, işletim sistemi detayları.
   • Hedef URL: g.ceipmsn[.]com (HTTP).
4. DualSafe Password Manager:
   • Sızdırılan Veri: Eklenti sürümü, tarayıcı dili.
   • Hedef URL: stats.itopupdate[.]com (HTTP).

Riskler: Bu veriler, halka açık Wi-Fi ağlarında AitM (Adversary-in-the-Middle) saldırılarıyla ele geçirilebilir. Saldırganlar, verileri değiştirerek kimlik avı veya yönlendirme saldırıları düzenleyebilir.

Kod İçinde Açıkça Saklanan API Anahtarları

Araştırmacılar, aşağıdaki eklentilerin JavaScript kodunda sertifikasız API anahtarları bulunduğunu belirledi:

• Avast Online Security & AVG Online Security:
  • Açığa Çıkan: Google Analytics API anahtarı.
  • Risk: Sahte trafik oluşturarak analiz verilerini bozma veya maliyet artırma.
• Equatio – Math Made Digital:
  • Açığa Çıkan: Microsoft Azure konuşma tanıma API anahtarı.
  • Risk: Geliştiricinin Azure kullanım kotasını doldurma.
• Trust Wallet:
  • Açığa Çıkan: Ramp Network kripto API anahtarı.
  • Risk: Sahte kripto işlemleri oluşturma.
• TravelArrow:
  • Açığa Çıkan: ip-api[.]com konum API anahtarı.
  • Risk: Yüksek API maliyetleri ve hesap askıya almalar.

Ek Riskler: Bu anahtarlar, bulut hizmetlerine yasa dışı içerik yüklemek veya kullanıcı hesaplarını taklit etmek için kullanılabilir.

Kullanıcılar ve Geliştiriciler İçin Kritik Öneriler

1. Kullanıcılar:
   • Listelenen eklentileri hemen kaldırın.
   • Eklenti yüklerken HTTPS kullandığından emin olun.
   • Halka açık ağlarda VPN kullanın.
2. Geliştiriciler:
   • Hassas verileri arka uç sunucularda şifreleyerek saklayın.
   • API anahtarlarını ortam değişkenlerinde tutun ve düzenli olarak değiştirin.
   • HTTPS kullanımını zorunlu hale getirin.

Neden Bu Kadar Riskli?

• HTTP’nin Zayıflığı: Veriler düz metin olarak aktarıldığı için kolayca ele geçirilebilir.
• Sabit Anahtarlar: Kod içinde sertifikasız anahtarlar, saldırganların işini kolaylaştırır.
• Marka Güven Erozyonu: Özellikle şifre yöneticileri gibi araçlar, kullanıcı güvenini kaybedebilir.

Sonuç: Güvenlik Şeffaflıkla Başlar

Symantec’in raporu, popülerlik veya marka gücünün güvenlik garantisi olmadığını gösterdi. Kullanıcılar, eklentileri izinler ve kullanılan protokoller açısından titizlikle değerlendirmeli. Geliştiriciler ise “istemci tarafında asla hassas veri saklama” ilkesini benimsemeli.

Detaylı siber güvenlik haberleri için techneiro.com’u ziyaret edin!