På fredagen publicerade otto-js forskarteam en artikel om hur användare använder de avancerade stavningskontrollfunktionerna i Google Chrome eller Microsoft Edge, kan omedvetet överföra lösenord och personligt identifierbar information (PII) till tredje parts molnservrar. Denna sårbarhet riskerar inte bara den genomsnittliga slutanvändarens privata information, utan den kan också lämna en organisations administrativa referenser och annan infrastrukturrelaterad information osäker för utomstående.
Sårbarheten upptäcktes av otto-js medgrundare och CTO Josh Summit när man testade företagets förmåga att upptäcka skriptbeteende. Under testningen upptäckte Samit och otto-js-teamet att den rätta kombinationen av funktioner i Chromes förbättrade stavningskontroll eller MS Editor in Edge oavsiktligt exponerade fältdata som innehåller PII och annan känslig information när de skickades tillbaka till servrarna Microsoft och Google. Båda funktionerna kräver explicita åtgärder från användare för att aktivera dem, och när de väl har aktiverats är användarna ofta omedvetna om att deras data delas med tredje part.
Förutom fältdata upptäckte otto-js-teamet också att användarnas lösenord kunde avslöjas genom alternativet för lösenordsvisning. Det här alternativet, som hjälper användare att undvika att ange felaktigt lösenord, avslöjar lösenordet oavsiktligt för tredjepartsservrar genom avancerade stavningskontrollfunktioner.
Enskilda användare är inte den enda part som riskerar. Sårbarheten kan resultera i att företagets autentiseringsuppgifter äventyras av obehöriga tredje parter. otto-js-teamet gav följande exempel som visar hur användare som loggat in på molntjänster och infrastrukturkonton omedvetet kan överföra sina referenser till servrar Microsoft eller Google.
Den första bilden (ovan) visar ett exempel på att logga in på ett Alibaba Cloud-konto. När du loggar in via Chrome skickar den avancerade stavningskontrollfunktionen frågeinformation till Googles servrar utan administratörstillstånd. Som du kan se på skärmdumpen (nedan) inkluderar denna information det faktiska lösenordet som skrivs in för att logga in i företagets moln. Tillgång till denna typ av information kan leda till allt från stöld av företags- och kunddata till fullständig kompromiss av kritisk infrastruktur.
otto-js-teamet utförde tester och analyser av riktmärken inriktade på sociala medier, kontorsverktyg, hälsovård, myndigheter, e-handel och bank-/finansiella tjänster. Över 96 % av de 30 kontrollgrupperna som testades skickade data tillbaka till Microsoft och Google. 73 % av testade webbplatser och grupper skickade lösenord till tredjepartsservrar när alternativet valdes visa lösenord. De webbplatser och tjänster som inte skickade lösenord hade helt enkelt inte funktionen visa lösenord och var inte nödvändigtvis ordentligt skyddade.
otto-js-teamet kontaktade Microsoft 365, Alibaba Cloud, Google Cloud, AWS och LastPass, som är de fem bästa sajterna och molntjänstleverantörerna som utgör den största risken för företagskunder. Enligt företagets säkerhetsuppdateringar har AWS och LastPass redan svarat och rapporterat att problemet har åtgärdats.
Du kan hjälpa Ukraina att slåss mot de ryska inkräktarna. Det bästa sättet att göra detta är att donera medel till Ukrainas väpnade styrkor genom Rädda liv eller via den officiella sidan NBU.
Läs också:
Håll dig lugn, använd Firefox
+