賽門鐵克（Symantec）在近期一項大規(guī)模安全調(diào)查中發(fā)現(xiàn)，Chrome應(yīng)用商店存在一個令人擔(dān)憂的現(xiàn)象：大量瀏覽器擴展的源代碼中直接嵌入了硬編碼的API密鑰、密鑰憑證和令牌。這一疏忽已累計影響超過全球兩千萬用戶，可能導(dǎo)致數(shù)據(jù)篡改、未授權(quán)訪問、財務(wù)損失，甚至給開發(fā)者帶來聲譽損害。

安全隱患全面曝光

賽門鐵克專家指出："這些密鑰一旦發(fā)布，任何有意者都能輕易獲取——攻擊者只需檢查擴展安裝包即可提取。"從云資源到分析終端，這些被嵌入的密鑰可能被濫用于多種場景，包括垃圾郵件服務(wù)、篡改遙測數(shù)據(jù)乃至接管基礎(chǔ)設(shè)施。

調(diào)查顯示多個知名Chrome擴展存在密鑰暴露問題，以下是關(guān)鍵發(fā)現(xiàn)：

（顯示硬編碼Google Analytics 4 API密鑰的代碼片段 | 圖片來源：賽門鐵克）

高危擴展案例盤點

(1) Avast & AVG Online Security（合計700萬+用戶）

• 漏洞類型：硬編碼Google Analytics 4 API密鑰
• 風(fēng)險："攻擊者可向GA4終端發(fā)送虛假事件，破壞指標(biāo)數(shù)據(jù)或推高分析成本"

(2) Equatio數(shù)學(xué)工具（500萬+用戶）

• 漏洞：暴露Azure語音識別API密鑰
• 風(fēng)險："惡意用戶若重復(fù)調(diào)用該接口，可能導(dǎo)致開發(fā)者Azure訂閱服務(wù)產(chǎn)生超額費用"

(3) Awesome Screenshot截圖工具（340萬+用戶）

• 漏洞：內(nèi)嵌AWS S3訪問密鑰
• 風(fēng)險："攻擊者可編寫腳本上傳非法內(nèi)容、惡意文件，甚至滲透其他AWS資源"

(4) Microsoft Editor編輯器（200萬+用戶）

• 漏洞：泄露遙測密鑰
• 風(fēng)險："持有該密鑰者可生成偽造遙測數(shù)據(jù)，耗盡資源或鎖定開發(fā)者分析系統(tǒng)"

其他受影響擴展

• Antidote Connector（100萬+用戶）：通過InboxSDK暴露Google API密鑰，可能被用于操縱Gmail數(shù)據(jù)
• Watch2Gether（100萬+用戶）：Tenor GIF搜索API密鑰暴露，可能導(dǎo)致開發(fā)者賬戶被API服務(wù)封禁
• Trust Wallet錢包（100萬+用戶）：法幣通道API密鑰泄露，攻擊者可偽造加密貨幣交易請求
• TravelArrow（30萬用戶）：地理位置API密鑰暴露，可能產(chǎn)生高額賬單或?qū)е翧PI訪問權(quán)限被禁用

專業(yè)安全建議

賽門鐵克強調(diào)："切勿在客戶端存儲敏感憑證，應(yīng)通過安全后端服務(wù)器路由特權(quán)操作。"開發(fā)者將密鑰直接嵌入代碼的行為，無異于主動邀請攻擊者利用服務(wù)、耗盡資源或破壞隱私。報告總結(jié)稱："清除暴露的密鑰...既能維護用戶信任，又可避免經(jīng)濟損失，同時確保產(chǎn)品的分析結(jié)果安全可靠。"