Từ trình quản lý mật khẩu đến VPN, nhiều tiện ích bị phát hiện truyền dữ liệu không mã hóa và chứa thông tin bảo mật trong mã nguồn
Symantec cảnh báo: Một số tiện ích mở rộng Google Chrome phổ biến hiện đang tiềm ẩn nguy cơ bảo mật nghiêm trọng khi truyền dữ liệu người dùng qua giao thức HTTP không an toàn, đồng thời mã hóa cứng (hard-code) khóa API, token và thông tin nhạy cảm trong mã nguồn.
“Ngay cả những tiện ích có hàng trăm nghìn lượt cài đặt cũng có thể mắc lỗi bảo mật sơ đẳng, đe dọa đến quyền riêng tư và an toàn dữ liệu người dùng.” — Symantec nhận định.
🔎 Những gì đã bị rò rỉ?
Theo báo cáo từ nhà nghiên cứu Yuanjing Guo thuộc nhóm Công nghệ và Ứng phó Bảo mật của Symantec:
- Dữ liệu bị rò rỉ gồm: tên miền truy cập, mã định danh máy, hệ điều hành, phân tích sử dụng, thông tin gỡ cài đặt…
- Hình thức truyền tải: hoàn toàn không mã hóa (HTTP), khiến dữ liệu dễ bị chặn hoặc thay đổi bởi tin tặc trong cùng mạng Wi-Fi.
🚨 Danh sách các tiện ích bị phát hiện
❌ Truyền dữ liệu không mã hóa (HTTP)
| Tên tiện ích | Mã ID | Hành vi rủi ro |
|---|---|---|
| SEMRush Rank | idbhoeaiokcojcgappfigpifhpkjgmab | Gửi dữ liệu đến “rank.trellian[.]com” qua HTTP |
| PI Rank | ccgdboldgdlngcgfdolahmiilojmfndl | Tương tự SEMRush Rank |
| Browsec VPN | omghfjlpggmjjaagoclmmobgdodcjboh | Gửi dữ liệu gỡ cài đặt qua HTTP |
| MSN New Tab | lklfbkdigihjaaeamncibechhgalldgl | Truyền ID máy người dùng qua HTTP |
| DualSafe Password Manager | lgbjhdkjmpgjgcbcdlhkokkckpjmedgc | Gửi thông tin người dùng, ngôn ngữ, loại sử dụng… qua HTTP |
🔐 Lộ khóa API và thông tin bảo mật trong mã nguồn
| Tiện ích | Lỗi bảo mật |
|---|---|
| AVG Online Security, Speed Dial [FVD], SellerSprite | Lộ khóa Google Analytics 4 (GA4) |
| Equatio – Math Made Digital | Mã chứa khóa API của Microsoft Azure |
| Awesome Screen Recorder, Scrolling Screenshot Tool | Lộ khóa AWS dùng upload ảnh chụp |
| Microsoft Editor | Lộ StatsApiKey dùng thu thập dữ liệu người dùng |
| Antidote Connector | Dùng thư viện InboxSDK chứa nhiều thông tin xác thực |
| Watch2Gether | Lộ khóa API tìm kiếm GIF của Tenor |
| Trust Wallet | Lộ khóa API Web3 của Ramp Network |
| TravelArrow | Lộ khóa định vị truy cập ip-api[.]com |
🤯 Rủi ro nghiêm trọng với người dùng và nhà phát triển
Kẻ tấn công nếu phát hiện các khóa và thông tin này có thể:
- Gửi yêu cầu giả mạo
- Làm sai lệch số liệu phân tích (GA4)
- Tăng chi phí sử dụng dịch vụ như Azure, AWS
- Thực hiện lệnh giao dịch tiền mã hóa giả
- Lưu trữ nội dung bất hợp pháp trên các dịch vụ đám mây
⚠️ Đặc biệt, Antidote Connector chỉ là 1 trong hơn 90 tiện ích đang sử dụng thư viện InboxSDK, nghĩa là nguy cơ còn lan rộng hơn.
🔧 Giải pháp khuyến nghị
Dành cho nhà phát triển:
- ✅ Luôn sử dụng HTTPS
- ✅ Không lưu trữ khóa hoặc thông tin nhạy cảm ở phía client
- ✅ Sử dụng dịch vụ quản lý bí mật chuyên dụng (secret manager)
- ✅ Thường xuyên xoay vòng (rotate) khóa API
Dành cho người dùng:
- 🔍 Kiểm tra các tiện ích đã cài đặt
- ❌ Gỡ bỏ tiện ích nghi vấn truyền HTTP hoặc lộ thông tin
- ⚙️ Ưu tiên các tiện ích có cam kết bảo mật rõ ràng
Người dùng và nhà phát triển cần nâng cao cảnh giác, đảm bảo thông tin cá nhân được truyền tải và lưu trữ đúng cách, an toàn, và mã hóa đầy đủ.