Chrome 扩展内藏安全隐患，硬编码API密钥致超全球两千万用户面临风险

赛门铁克（Symantec）在近期一项大规模安全调查中发现 ，扩展Chrome应用商店存在一个令人担忧的内藏现象 ：大量浏览器扩展的源代码中直接嵌入了硬编码的API密钥 、密钥凭证和令牌。安全这一疏忽已累计影响超过全球两千万用户，隐患硬编可能导致数据篡改
、高防服务器码A密钥未授权访问、致超财务损失
，全球甚至给开发者带来声誉损害。两千临风

安全隐患全面曝光

赛门铁克专家指出："这些密钥一旦发布，户面任何有意者都能轻易获取——攻击者只需检查扩展安装包即可提取。扩展"从云资源到分析终端 ，内藏这些被嵌入的模板下载安全密钥可能被滥用于多种场景 ，包括垃圾邮件服务 、隐患硬编篡改遥测数据乃至接管基础设施。码A密钥

调查显示多个知名Chrome扩展存在密钥暴露问题 ，致超以下是关键发现 ：

（显示硬编码Google Analytics 4 API密钥的代码片段 | 图片来源：赛门铁克）

高危扩展案例盘点

(1) Avast & AVG Online Security（合计700万+用户）

漏洞类型：硬编码Google Analytics 4 API密钥风险
："攻击者可向GA4终端发送虚假事件 ，建站模板破坏指标数据或推高分析成本"

(2) Equatio数学工具（500万+用户）

漏洞：暴露Azure语音识别API密钥风险 ："恶意用户若重复调用该接口 ，可能导致开发者Azure订阅服务产生超额费用"

(3) Awesome Screenshot截图工具（340万+用户）

漏洞：内嵌AWS S3访问密钥风险："攻击者可编写脚本上传非法内容
 、恶意文件 ，甚至渗透其他AWS资源"

(4) Microsoft Editor编辑器（200万+用户）

漏洞：泄露遥测密钥风险
："持有该密钥者可生成伪造遥测数据 ，耗尽资源或锁定开发者分析系统"其他受影响扩展Antidote Connector（100万+用户）：通过InboxSDK暴露Google API密钥 ，可能被用于操纵Gmail数据Watch2Gether（100万+用户）：Tenor GIF搜索API密钥暴露 ，可能导致开发者账户被API服务封禁Trust Wallet钱包（100万+用户） ：法币通道API密钥泄露 ，源码下载攻击者可伪造加密货币交易请求TravelArrow（30万用户）
：地理位置API密钥暴露 ，可能产生高额账单或导致API访问权限被禁用专业安全建议

赛门铁克强调
："切勿在客户端存储敏感凭证 ，应通过安全后端服务器路由特权操作 。"开发者将密钥直接嵌入代码的行为 ，无异于主动邀请攻击者利用服务
、耗尽资源或破坏隐私。亿华云报告总结称  ："清除暴露的密钥...既能维护用户信任 ，又可避免经济损失 ，同时确保产品的分析结果安全可靠。"