賽門鐵克威脅獵手團隊最新報告披露，數款擁有數百萬活躍用戶的Chrome擴展程序正在通過未加密的HTTP連接靜默泄露用戶敏感數據，嚴重威脅用戶隱私安全。

知名擴展程序存在明文傳輸風險

盡管宣稱提供安全瀏覽、數據分析或便捷界面等功能，但SEMRush Rank、PI Rank、MSN新標簽頁、Browsec VPN和DualSafe密碼管理器等擴展程序正在以明文形式傳輸關鍵信息，包括瀏覽域名、設備ID、操作系統詳情和使用分析數據，使用戶面臨中間人攻擊（MITM）風險。

其中兩款SEO工具——SEMRush Rank和PI Rank——被發現通過HTTP將用戶訪問的域名直接發送至rank.trellian.com，域名數據被附加在查詢字符串中。每當用戶使用排名功能時，這些請求就會將瀏覽行為暴露給任何能夠監控網絡流量的第三方。

報告警告稱："由于HTTP不提供加密，任何能夠嗅探網絡流量的人都可以讀取這些域名信息。"

VPN擴展竟成數據泄露源頭

更令人意外的是擁有600萬用戶的Browsec VPN擴展，這款標榜提供"安全私密網絡體驗"的產品，其卸載過程竟通過HTTP泄露使用統計數據和唯一用戶ID。

Browsec VPN在后臺代碼中設置了卸載URL | 圖片來源：賽門鐵克

報告指出："該擴展設置了卸載URL...默認指向HTTP端點...并附加了使用統計數據和唯一用戶ID。"此外，Browsec的清單文件允許連接數十個不安全的HTTP端點，與其VPN品牌定位形成鮮明矛盾。

微軟系擴展泄露設備指紋

微軟旗下的MSN新標簽頁和MSN主頁擴展程序被發現泄露持久性設備ID、操作系統類型和版本號。報告強調："網絡上的被動監聽者很容易收集這些ID...進而建立精細的用戶畫像。"這些安裝量超過50萬的擴展程序會長期暴露單個用戶的重復請求，實質上構建了設備指紋和瀏覽習慣檔案。

密碼管理器也未能幸免

即便是DualSafe密碼管理器與數字保險庫這類安全工具，也被發現向stats.itopupdate.com發送未加密的遙測數據，包括擴展版本、瀏覽器語言和使用類型。雖然未觀察到憑證信息傳輸，但密碼管理器通過不安全渠道泄露任何遙測數據的諷刺現象引起了研究人員關注。

報告指出："密碼管理器使用未加密請求傳輸遙測數據的事實，削弱了對其整體安全態勢的信任。"目前DualSafe團隊已修復該漏洞，將所有外發遙測數據切換為HTTPS傳輸。

安全專家發出緊急警告

報告最后向用戶和開發者發出警告："未加密流量極易被實施中間人攻擊的惡意方獲取...這種風險絕非理論假設。"賽門鐵克建議受影響擴展程序的用戶立即卸載，除非開發者已發布更新改用加密通信。開發者被敦促默認采用HTTPS，特別是在處理任何用戶相關數據時——即使是分析數據也不例外。