数据观澜系统运维
快捷导航
您的位置:首页>网络安全>>Chrome 扩展内藏安全隐患,硬编码API密钥致超全球两千万用户面临风险 >

Chrome 扩展内藏安全隐患,硬编码API密钥致超全球两千万用户面临风险

  发布时间:2025-12-07 20:38:15   作者:玩站小弟   我要评论
赛门铁克Symantec)在近期一项大规模安全调查中发现,Chrome应用商店存在一个令人担忧的现象:大量浏览器扩展的源代码中直接嵌入了硬编码的API密钥、密钥凭证和令牌。这一疏忽已累计影响超过全球两 。

赛门铁克(Symantec)在近期一项大规模安全调查中发现,扩展Chrome应用商店存在一个令人担忧的内藏现象:大量浏览器扩展的源代码中直接嵌入了硬编码的API密钥 、密钥凭证和令牌。安全这一疏忽已累计影响超过全球两千万用户,隐患硬编可能导致数据篡改 、香港云服务器码A密钥未授权访问、致超财务损失 ,全球甚至给开发者带来声誉损害 。两千临风

安全隐患全面曝光

赛门铁克专家指出 :"这些密钥一旦发布 ,户面任何有意者都能轻易获取——攻击者只需检查扩展安装包即可提取。扩展"从云资源到分析终端,内藏这些被嵌入的源码库安全密钥可能被滥用于多种场景,包括垃圾邮件服务 、隐患硬编篡改遥测数据乃至接管基础设施。码A密钥

调查显示多个知名Chrome扩展存在密钥暴露问题 ,致超以下是关键发现:

(显示硬编码Google Analytics 4 API密钥的代码片段 | 图片来源 :赛门铁克)

高危扩展案例盘点

(1) Avast & AVG Online Security(合计700万+用户)

漏洞类型  :硬编码Google Analytics 4 API密钥风险:"攻击者可向GA4终端发送虚假事件,高防服务器破坏指标数据或推高分析成本"

(2) Equatio数学工具(500万+用户)

漏洞 :暴露Azure语音识别API密钥风险:"恶意用户若重复调用该接口  ,可能导致开发者Azure订阅服务产生超额费用"

(3) Awesome Screenshot截图工具(340万+用户)

漏洞 :内嵌AWS S3访问密钥风险 :"攻击者可编写脚本上传非法内容 、恶意文件 ,甚至渗透其他AWS资源"

(4) Microsoft Editor编辑器(200万+用户)

漏洞:泄露遥测密钥风险 :"持有该密钥者可生成伪造遥测数据 ,耗尽资源或锁定开发者分析系统"其他受影响扩展Antidote Connector(100万+用户)  :通过InboxSDK暴露Google API密钥 ,可能被用于操纵Gmail数据Watch2Gether(100万+用户) :Tenor GIF搜索API密钥暴露 ,可能导致开发者账户被API服务封禁Trust Wallet钱包(100万+用户) :法币通道API密钥泄露,源码下载攻击者可伪造加密货币交易请求TravelArrow(30万用户):地理位置API密钥暴露 ,可能产生高额账单或导致API访问权限被禁用专业安全建议

赛门铁克强调:"切勿在客户端存储敏感凭证,应通过安全后端服务器路由特权操作 。"开发者将密钥直接嵌入代码的行为,无异于主动邀请攻击者利用服务 、耗尽资源或破坏隐私。云计算报告总结称 :"清除暴露的密钥...既能维护用户信任 ,又可避免经济损失  ,同时确保产品的分析结果安全可靠 。"

  • Tag:

相关文章

  • 零信任的历史与演进

    译者 | 布加迪审校 | 孙淑娟零信任网络访问TNA)是John Kindervag首创的零信任模型的演进版。零信任是知名调研公司Forrester的Kindervag在2010年杜撰的术语。2017
    2025-12-07

  • win10镜像安装到u盘

    很多小伙伴下载了win10系统的镜像,想制作成一个u盘启动盘,把win10镜像安装到u盘,但是却不知道如何制作。其实我们有几种方法可以安装,今天小编带来了详细的步骤,具体的解决方法下面一起来看看吧。w
    2025-12-07

  • win10商店错误代码0x80D02017怎么办

    在使用win10商店的时候,很多用户们都遇到过有关win10商店的问题,就比如说小编在使用电脑的时候,发现,win10商店无法加载页面还显示代码:0x80D02017,这要怎么去解决呢,快来看看详细的
    2025-12-07

  • 电脑上nvidia是什么意思

    我们在使用电脑的时候不免会发现有一个叫做nvidia的东西,中文名称其实是英伟达,是一个显卡芯片和主板芯片的生产商。据小编所知我们在电脑上看见的英伟达nvidia其实是电脑的显卡设置面板。根据它可以对
    2025-12-07

  • 2023年最常见的八种网络攻击形式

    随着网络攻击变得越来越先进和复杂,了解将面临的不同类型的威胁至关重要。现代攻击者的武器库中有太多不同的攻击,所以了解将面对的是什么对任何现代企业都很重要。通过做好准备,了解要面对的是什么,可以确
    2025-12-07

  • win10怎么设置休眠

    我们在使用电脑的时候,总是会有遇到电脑长时间不用的情况。这种情况下,最好去设置电脑的自动休眠,但是电脑的自动休眠该如何去设置呢,快来看看详细的教程吧~win10怎么设置休眠:1.点击【小娜】搜索【控制
    2025-12-07

最新评论