Chrome-аддоны AVG, Microsoft передают данные по HTTP, хранят ключи в коде

Екатерина Быстрова 05 Июня 2025 - 20:48

...

Chrome-аддоны AVG, Microsoft передают данные по HTTP, хранят ключи в коде

Некоторые из самых загружаемых расширений для Google Chrome оказались настоящими «дырками» в вашей приватности. Исследователи из Symantec обнаружили, что десятки расширений передают данные через незащищённый HTTP и даже вшивают ключи доступа к API прямо в код.

Во-первых, часть расширений отправляют конфиденциальную информацию в открытом виде — то есть вообще без шифрования. Вот что может утечь:

посещаемые домены,
ID устройства,
операционная система,
телеметрия использования,
даже факт удаления расширения.

А теперь представьте, что вы сидите в кафе на публичном Wi-Fi. Кто угодно в той же сети может перехватить этот трафик — а в некоторых случаях и подменить его. Это классическая атака посредника (AitM).

Вот некоторые примеры из списка:

SEMRush Rank и PI Rank — отправляют данные на rank.trellian[.]com через обычный HTTP.
Browsec VPN (!) — передаёт запрос на browsec-uninstall... при удалении расширения.
MSN New Tab и MSN Homepage — сливают уникальный ID устройства на g.ceipmsn[.]com.
DualSafe Password Manager — отправляет данные о версии, языке браузера и типе использования на stats.itopupdate[.]com тоже по HTTP.

«Даже если пароли напрямую не передаются, тот факт, что менеджер паролей использует незащищённый трафик — уже вызывает серьёзные вопросы», — подчёркивает исследователь из Symantec Юаньцзин Го.

Symantec также нашла расширения, где разработчики просто оставили в коде:

ключи Google Analytics 4 (GA4),
ключи Microsoft Azure (для распознавания речи),
ключи AWS для загрузки в S3,
токены телеметрии и API ключи сторонних сервисов.

Среди таких расширений:

AVG Online Security, SellerSprite, Equatio, Microsoft Editor, Watch2Gether, Trust Wallet, TravelArrow и др.
Antidote Connector, использующее библиотеку InboxSDK с уже встроенными credentials. Проблема может касаться ещё более 90 расширений — их названия пока не раскрываются.

Symantec рекомендует удалить такие расширения, пока разработчики не исправят проблемы. Это не паранойя — любой, у кого есть доступ к сети, может перехватить данные. Это уже не гипотетическая угроза.

Следующая главная новость »

Безопасная разработка 2026: как убрать уязвимости ещё до релиза?
Регистрируйтесь на эфир!

Екатерина Быстрова 24 Июня 2026 - 14:45

Общее Средства поиска уязвимостей Bug Bounty Системы для анализа защищенности информационных систем Средства тестирования на проникновение Аудит информационной безопасности Positive Technologies

На Standoff 17 впервые полностью обесточили виртуальное государство

На кибербитве Standoff 17 произошло то, чего за десять лет существования соревнований еще не было. Сразу две команды атакующих смогли полностью отключить энергосистему виртуального Государства F, погрузив цифровую страну во тьму. Соревнования прошли с 16 по 19 июня в московском Кибердоме и собрали 23 команды белых хакеров из России, Казахстана, Монголии, Вьетнама, Индонезии и Нидерландов.

За несколько дней участники реализовали 245 критических событий на киберполигоне, который имитировал инфраструктуру сразу семи отраслей экономики.

Главной сенсацией стала атака команды Dataeli&only_f4st. Хакеры за 20 шагов вывели из строя все электроподстанции виртуального государства. Позже тот же сценарий смогла повторить команда cR4.sh. Для Standoff это исторический результат — раньше подобный масштабный блэкаут никому не удавался.

Самой атакуемой отраслью оказался телеком. Здесь зафиксировали 74 критических события, включая все девять уникальных сценариев атак. А вот ритейл, наоборот, интересовал атакующих заметно меньше — всего семь успешных инцидентов.

Победителем Standoff 17 стала российская команда DreamTeam. В первую пятерку также вошли cR4.sh, FR13NDS & RHACKERS, Cyb7rC0d3# и Dataeli&only_f4st. Общий призовой фонд соревнований составил 50 тысяч долларов.

На стороне защитников выступали девять команд. За время кибербитвы они выявили 551 инцидент, причем 54 из них были обнаружены непосредственно в процессе отражения атак. Лучший результат по количеству обнаруженных инцидентов показала команда ReKad Team, защищавшая железнодорожную инфраструктуру.

Одной из главных новинок Standoff 17 стала цифровая копия инфраструктуры сети «Вкусно — и точка». Атакующим предложили реализовать девять критических сценариев — от создания фальшивых заказов до захвата административных учетных записей. Однако здесь хакеры остались ни с чем: ни одну из поставленных целей выполнить не удалось.

Еще одной важной темой мероприятия стали открытые кибериспытания. Т-Банк объявил о запуске программы, в рамках которой исследователям безопасности предложат до 12 млн рублей за реализацию одного недопустимого события в корпоративной инфраструктуре.

Безопасная разработка 2026: как убрать уязвимости ещё до релиза?
Регистрируйтесь на эфир!