Varios complementos muy populares de Google Chrome ‒entre ellos SEMRush Rank, Browsec VPN, MSN New Tab, DualSafe Password Manager, AVG Online Security o Trust Wallet‒ exponen a sus usuarios a dos riesgos simultáneos: envían telemetría a través de HTTP sin cifrar y contienen credenciales duras en el propio JavaScript (API keys de GA4, Azure, AWS, Tenor o Ramp Network).
Investigadores de Symantec STAR detectaron que las peticiones de analítica, desinstalación o identificación se realizan a dominios como rank.trellian.com, browsec-uninstall.s3-website… o g.ceipmsn.com mediante HTTP, permitiendo a un atacante en la misma red interceptar o modificar el tráfico.
El análisis de código reveló secretos incrustados: claves GA4 para “spamear” métricas, una key de Azure Speech que podría inflar costes, Access Keys de AWS que posibilitan subir contenido ilícito a S3, y tokens de servicios Web3 que facilitarían transacciones fraudulentas.
InboxSDK, biblioteca usada por más de 90 extensiones, también aloja credenciales, por lo que la superficie de ataque real es mayor de lo publicado.
Impacto potencial
- Robo de sesiones o perfilado del usuario a través de dominios visitados y UUID del equipo.
- Costes económicos para los desarrolladores (facturación en Azure/AWS) y manipulación de analíticas.
- Suplantación de peticiones a APIs de terceros para publicar contenido o lanzar campañas de spam.
Casos recientes de secuestro masivo de extensiones (35 plugins comprometidos en diciembre de 2024) demuestran lo fácil que es aprovechar permisos excesivos para robar cookies y tokens de Facebook Business.
Extensiones afectadas (muestra)
- HTTP sin cifrar: SEMRush Rank, PI Rank, Browsec VPN, MSN New Tab, MSN Homepage, DualSafe Password Manager.
- Credenciales duras: Online Security & Privacy, AVG Online Security, Speed Dial FVD, SellerSprite, Equatio, Awesome Screen Recorder, Scrolling Screenshot Tool, Microsoft Editor, Antidote Connector, Watch2Gether, Trust Wallet, TravelArrow.
Recomendaciones
| Acción | Detalle |
|---|---|
| 1. Auditar extensiones | Revisar → chrome://extensions y eliminar los IDs listados arriba. |
| 2. Forzar HTTPS | Filtrar en proxy/WAF cualquier llamada HTTP a dominios de telemetría. |
| 3. Rotar y restringir API keys | Uso de backend o vaults; nunca embebidas en el cliente. |
| 4. Implementar CSP estrictas | Bloquear cargas de scripts remotos y prevenir inyección. |
| 5. Política de mínimos permisos | Extensiones sólo si son imprescindibles y firmadas. |
Más información
- The Hacker News – Popular Chrome Extensions Leak API Keys, User Data via HTTP and Hard-Coded Credentials
- BleepingComputer – How hackers hijacked 35 Google Chrome extensions
- Tom’s Guide – Chrome extensions with 4 million installs are putting your privacy at risk
La entrada Extensiones de Chrome filtran API keys y datos en texto plano se publicó primero en Una Al Día.