多款 Chrome 扩展 “翻车”，存在密钥暴露问题

正文

请到「今天看啥」查看全文

DualSafe Password Manager & Digital Vault：该程序会构建一个基于 HTTP 的网址请求，发送到 “stats.itopupdate[.]com”，同时附带有关扩展程序版本、用户浏览器语言及使用 “类型” 的信息。

在 JavaScript 代码中直接嵌入 API 密钥、机密和令牌的扩展程序：

Online Security & Privacy extension ：这些扩展程序暴露了一个硬编码的谷歌分析 4 (GA4) API 密钥，攻击者可利用该密钥攻击 GA4 端点，破坏指标数据。

Equatio – Math Made Digital：该程序嵌入了一个用于语音识别的微软 Azure API 密钥，攻击者可借此增加开发者的费用或耗尽其使用限额。

Awesome Screen Recorder & Screenshot：它们暴露了开发者的亚马逊云服务（AWS）访问密钥，该密钥用于将截图上传至开发者的 S3 存储桶。

Microsoft Editor – Spelling & Grammar Checker ：该程序暴露了一个名为 “StatsApiKey” 的遥测密钥，用于记录用户数据以进行分析。

Antidote Connector ：它包含了一个名为 InboxSDK 的第三方库，其中含有硬编码的凭据，包括 API 密钥。

请到「今天看啥」查看全文