賽門(mén)鐵克威脅獵手團(tuán)隊(duì)最新報(bào)告披露，數(shù)款擁有數(shù)百萬(wàn)活躍用戶的Chrome擴(kuò)展程序正在通過(guò)未加密的HTTP連接靜默泄露用戶敏感數(shù)據(jù)，嚴(yán)重威脅用戶隱私安全。

知名擴(kuò)展程序存在明文傳輸風(fēng)險(xiǎn)

盡管宣稱提供安全瀏覽、數(shù)據(jù)分析或便捷界面等功能，但SEMRush Rank、PI Rank、MSN新標(biāo)簽頁(yè)、Browsec VPN和DualSafe密碼管理器等擴(kuò)展程序正在以明文形式傳輸關(guān)鍵信息，包括瀏覽域名、設(shè)備ID、操作系統(tǒng)詳情和使用分析數(shù)據(jù)，使用戶面臨中間人攻擊（MITM）風(fēng)險(xiǎn)。

其中兩款SEO工具——SEMRush Rank和PI Rank——被發(fā)現(xiàn)通過(guò)HTTP將用戶訪問(wèn)的域名直接發(fā)送至rank.trellian.com，域名數(shù)據(jù)被附加在查詢字符串中。每當(dāng)用戶使用排名功能時(shí)，這些請(qǐng)求就會(huì)將瀏覽行為暴露給任何能夠監(jiān)控網(wǎng)絡(luò)流量的第三方。

報(bào)告警告稱："由于HTTP不提供加密，任何能夠嗅探網(wǎng)絡(luò)流量的人都可以讀取這些域名信息。"

VPN擴(kuò)展竟成數(shù)據(jù)泄露源頭

更令人意外的是擁有600萬(wàn)用戶的Browsec VPN擴(kuò)展，這款標(biāo)榜提供"安全私密網(wǎng)絡(luò)體驗(yàn)"的產(chǎn)品，其卸載過(guò)程竟通過(guò)HTTP泄露使用統(tǒng)計(jì)數(shù)據(jù)和唯一用戶ID。

Browsec VPN在后臺(tái)代碼中設(shè)置了卸載URL | 圖片來(lái)源：賽門(mén)鐵克

報(bào)告指出："該擴(kuò)展設(shè)置了卸載URL...默認(rèn)指向HTTP端點(diǎn)...并附加了使用統(tǒng)計(jì)數(shù)據(jù)和唯一用戶ID。"此外，Browsec的清單文件允許連接數(shù)十個(gè)不安全的HTTP端點(diǎn)，與其VPN品牌定位形成鮮明矛盾。

微軟系擴(kuò)展泄露設(shè)備指紋

微軟旗下的MSN新標(biāo)簽頁(yè)和MSN主頁(yè)擴(kuò)展程序被發(fā)現(xiàn)泄露持久性設(shè)備ID、操作系統(tǒng)類(lèi)型和版本號(hào)。報(bào)告強(qiáng)調(diào)："網(wǎng)絡(luò)上的被動(dòng)監(jiān)聽(tīng)者很容易收集這些ID...進(jìn)而建立精細(xì)的用戶畫(huà)像。"這些安裝量超過(guò)50萬(wàn)的擴(kuò)展程序會(huì)長(zhǎng)期暴露單個(gè)用戶的重復(fù)請(qǐng)求，實(shí)質(zhì)上構(gòu)建了設(shè)備指紋和瀏覽習(xí)慣檔案。

密碼管理器也未能幸免

即便是DualSafe密碼管理器與數(shù)字保險(xiǎn)庫(kù)這類(lèi)安全工具，也被發(fā)現(xiàn)向stats.itopupdate.com發(fā)送未加密的遙測(cè)數(shù)據(jù)，包括擴(kuò)展版本、瀏覽器語(yǔ)言和使用類(lèi)型。雖然未觀察到憑證信息傳輸，但密碼管理器通過(guò)不安全渠道泄露任何遙測(cè)數(shù)據(jù)的諷刺現(xiàn)象引起了研究人員關(guān)注。

報(bào)告指出："密碼管理器使用未加密請(qǐng)求傳輸遙測(cè)數(shù)據(jù)的事實(shí)，削弱了對(duì)其整體安全態(tài)勢(shì)的信任。"目前DualSafe團(tuán)隊(duì)已修復(fù)該漏洞，將所有外發(fā)遙測(cè)數(shù)據(jù)切換為HTTPS傳輸。

安全專家發(fā)出緊急警告

報(bào)告最后向用戶和開(kāi)發(fā)者發(fā)出警告："未加密流量極易被實(shí)施中間人攻擊的惡意方獲取...這種風(fēng)險(xiǎn)絕非理論假設(shè)。"賽門(mén)鐵克建議受影響擴(kuò)展程序的用戶立即卸載，除非開(kāi)發(fā)者已發(fā)布更新改用加密通信。開(kāi)發(fā)者被敦促默認(rèn)采用HTTPS，特別是在處理任何用戶相關(guān)數(shù)據(jù)時(shí)——即使是分析數(shù)據(jù)也不例外。