Các tiện ích Chrome phổ biến rò rỉ API key, gây nguy cơ mất quyền kiểm soát tài khoản

Các tiện ích Chrome phổ biến rò rỉ API key, gây nguy cơ mất quyền kiểm soát tài khoản

Hàng loạt extension Chrome tự do rò rỉ API key đến hệ thống back-end, khiến hacker dễ dàng truy cập tài khoản người dùng – biện pháp phòng ngừa ngay là cần thiết.

Lỗ hổng rò rỉ API key từ các extension Chrome thông dụng
Các chuyên gia bảo mật vừa phát hiện nhiều tiện ích mở rộng (extension) Chrome phổ biến chứa mã rò rỉ API key đến backend của nhà phát triển. Các key này có thể dùng để truy xuất tài nguyên, thao tác tài khoản thay mặt người dùng hoặc thậm chí dùng trong tài khoản đám mây mà extension tích hợp. Việc giữ API key trong mã front-end khiến bất kỳ ai có quyền xem mã nguồn đều có khả năng chiếm quyền ứng dụng – mở đường cho tin tặc thực hiện hành vi xâm nhập, thao tác dữ liệu hoặc tấn công chuỗi cung ứng phần mềm.

Giải pháp bảo mật cần thực hiện

1. Tuyệt đối không lưu API key trong mã client-side
   Không bao giờ đặt API key trong file JavaScript chạy trên trình duyệt. Thay vào đó, API key phải được giữ riêng trên backend và chỉ truy cập thông qua các endpoint đã kiểm soát.

2. Kiểm soát truy cập endpoint từ backend
   Áp dụng xác thực đa yếu tố hoặc token JWT cho endpoint, kết hợp kiểm tra domain/gói extension để ngăn truy cập trái phép.

3. Cập nhật và kiểm tra phiên bản extension
   Thường xuyên rà quét mã nguồn của extension trước khi triển khai trên Chrome Web Store để đảm bảo không chứa thông tin nhạy cảm.

4. Sử dụng tính năng tải động API key
   Thay vì hard‑code trong mã, thiết lập hệ thống chuyển key qua HTTPS khi extension khởi động, gắn hạn sử dụng và giới hạn số request để tăng cường bảo mật.

5. Giám sát và phát hiện bất thường
   Thiết lập logging khi có request bất thường từ extension – như tần suất cao hoặc từ client không xác định – và cảnh báo sớm để xử lý.

6. Đào tạo và nâng cao nhận thức lập trình viên
   Khuyến khích đội ngũ dev nắm rõ khái niệm bảo mật API key, tránh rò rỉ bằng cách build công cụ nội bộ hoặc quy trình kiểm tra bảo mật dành riêng cho phần mở rộng.

Việc rò rỉ API key từ các extension Chrome cho thấy lỗ hổng không chỉ xuất phát từ mã độc phức tạp, mà còn đến từ sai sót cơ bản trong thiết kế bảo mật. Bất kể extension được tin dùng đến đâu, việc bảo vệ key và ứng dụng quy trình truy cập qua backend luôn là giải pháp bắt buộc để ngăn hacker lợi dụng điều này.

Hương - Theo TheHackerNews