Chrome插件硬编码API密钥泄露，超2100万用户受影响

近日，Symantec 发布调查报告，揭示Chrome扩展生态中的一项普遍安全隐患：开发者在扩展源代码中硬编码API密钥、令牌和敏感凭证，导致超过2100万用户面临数据滥用、隐私泄露和经济损失的多重风险。

多款热门扩展“密钥裸奔”

Symantec 表示，这些嵌入在客户端代码中的密钥一经发布即处于完全暴露状态，任何攻击者只需下载并解压扩展程序，即可轻松提取密钥进行滥用。

Symantec 指出多款广受欢迎的 Chrome 扩展程序存在敏感信息泄露问题，以下是主要发现概览：

代码片段显示了硬编码的 Google Analytics 4（GA4）API 密钥 | 图片来源：Symantec

Avast & AVG Online Security（700万+用户）

暴露内容：Google Analytics 4（GA4）API密钥

潜在风险：攻击者可注入大量虚假事件，破坏统计数据、抬高费用

Equatio – 数学数字化工具（500万+用户）

暴露内容：Azure语音识别API密钥

潜在风险：重复调用导致开发者Azure账户资源被滥用或消耗殆尽

Awesome Screenshot（340万+用户）

暴露内容：AWS S3访问密钥

潜在风险：上传恶意文件、托管非法内容、攻击其他AWS资源

Microsoft Editor（200万+用户）

暴露内容：遥测密钥

潜在风险：可伪造分析数据、干扰产品监测系统

Antidote Connector（100万+用户）

暴露内容：Google API密钥（通过 InboxSDK）

潜在风险：滥用Gmail权限、干扰Google服务、账户被黑名单封禁

Watch2Gether（100万+用户）

暴露内容：Tenor GIF搜索API密钥

潜在风险：请求洪泛攻击导致开发者账户被服务方封禁

Trust Wallet（100万+用户）

暴露内容：法币交易API密钥

潜在风险：可构造虚假的加密货币买卖请求，诱导用户操作

TravelArrow（30万用户）

暴露内容：地理定位API密钥

潜在风险：请求激增，导致服务费用飙升或接口被关闭

密钥泄露：既失数据，又失控制权

硬编码密钥的危害不只是造成分析数据失真和服务滥用，更可能引发严重的安全后果，包括：

资源盗用：攻击者调用付费API接口，开发者需承担费用；

账号封禁：持续异常请求可能触发API平台风控机制，导致密钥失效；

横向渗透：暴露的云服务密钥可能被用于攻击开发者的其他基础设施；

用户欺骗：通过接口伪造合法行为，可能诱导用户操作甚至造成财产损失。

值得注意的是，部分API密钥关联权限过高，不仅可以读取数据，甚至可以执行操作。例如Google API、AWS S3、Azure等均可能涉及“写入级”权限。