危险:多个Chrome扩展缺陷造成用户关键信息泄漏

安全研究人员发现，多个Chrome扩展因为使用Http（不带s）进行数据传输，会造成扩展自身安全漏洞并进一步泄漏用户信息。

你敢相信，Https普及这么多年了，苹果甚至强制应用必须使用Https。但用户基数最大的浏览器Chrome上的插件居然还在使用Http？

此处不科普。

现在各个云厂商的Https服务都是免费的啊，甚至CloudFlare连流量费都免了。为什么还要用Http呢。

以下是有问题的插件。各位看官赶紧查一下自己有没有使用吧：

1.SEMRush Rank (extension ID: idbhoeaiokcojcgappfigpifhpkjgmab) and PI Rank (ID: ccgdboldgdlngcgfdolahmiilojmfndl)

2.Browsec VPN (ID: omghfjlpggmjjaagoclmmobgdodcjboh)

3.MSN New Tab (ID: lklfbkdigihjaaeamncibechhgalldgl) and MSN Homepage, Bing Search & News (ID: midiombanaceofjhodpdibeppmnamfcj)

4.DualSafe Password Manager & Digital Vault (ID: lgbjhdkjmpgjgcbcdlhkokkckpjmedgc)

5.Online Security & Privacy extension (ID: gomekmidlodglbbmalcneegieacbdmki), AVG Online Security (ID: nbmoafcmbajniiapeidgficgifbfmjfo), Speed Dial [FVD] - New Tab Page, 3D, Sync (ID: llaficoajjainaijghjlofdfmbjpebpa), and SellerSprite - Amazon Research Tool (ID: lnbmbgocenenhhhdojdielgnmeflbnfb)

6.Equatio – Math Made Digital (ID: hjngolefdpdnooamgdldlkjgmdcmcjnc)

7.Awesome Screen Recorder & Screenshot (ID: nlipoenfbbikpbjkfpfillcgkoblgpmj) and Scrolling Screenshot Tool & Screen Capture (ID: mfpiaehgjbbfednooihadalhehabhcjo)

8.Microsoft Editor – Spelling & Grammar Checker (ID: gpaiobkfhnonedkhhfjpmhdalgeoebfa)

9.Antidote Connector (ID: lmbopdiikkamfphhgcckcjhojnokgfeo)

10.Watch2Gether (ID: cimpffimgeipdhnhjohpbehjkcdpjolg)

11.Trust Wallet (ID: egjidjbpglichdcondbcbdnbeeppgdph)

12.TravelArrow – Your Virtual Travel Agent (ID: coplmfnphahpcknbchcehdikbdieognn)

其中，前4个直接明文泄露用户信息或者操作

后面8个泄露了扩展自己或者三方的API Key等信息。

话说这都是啥事，前几天Chrome刚修复三个0day漏洞，马上又是一堆扩展明文泄露。

安全无小事，网络安全更复杂，大家上网要小心，谨防意外生。你以为是如梦。。。真人可能是如花哦。