Amikor bizalmas információkat ír be, például jelszavakat, az Edge és a Chrome böngészők helyesírás-ellenőrzői elküldik azokat a Google és a Microsoft szervereinek.
A Microsoft Editor Az Otto-JS biztonsági kutatócsoportja szerint a Microsoft Edge és a Google Chrome továbbfejlesztett beépített helyesírás-ellenőrzője kicseréli az Ön személyes adatait a Google és a Microsoft szervereivel.
Konkrétan, legyen szó bejelentkezési oldalról vagy formában, minden olyan szövegmezőbe bevitt anyagot, amelyet ezek a helyesírás-ellenőrzők áttekinthetnek, továbbítanak a két amerikai óriásnak. Kereszt-és vezetéknevek, e-mail címek, születési dátumok, társadalombiztosítási számok stb. Minden olyan szövegmező, amelyet ezek a helyesírás-ellenőrzők megvizsgálhatnak, ide tartozik. Ha ez nem megdöbbentő, a következők ijesztőbbek lehetnek. A Az Otto-JS csapata ennél sokkal rosszabbat is felfedezett.
A Chrome és az Edge helyesírás-ellenőrző funkciója kiszivárogtatja az Ön adatait és jelszavait
A cég vezetői tesztelték szkriptjeik működőképességét és rájöttek, hogy a beírt jelszó megjelenítésére szolgáló gombra kattintva azt a Google és a Microsoft szervereire is továbbította.
„Aggályos, hogy mennyire könnyű aktiválni ezeket a funkciókat, és hogy A legtöbb felhasználó úgy aktiválja őket, hogy nem veszi észre, mi történik a háttérben” – mondta az Otto-JS társalapítója a cég nyilatkozatában.
Ellenben a továbbfejlesztett Chrome helyesírás-ellenőrzővel, amely alapértelmezés szerint elérhető a böngészőben. A Microsoft Editor az Edge-ben egy olyan bővítmény, amelyet a felhasználónak önként kell telepítenie.
Az Otto-JS csapata kifejlesztett egy hatékony példát, amely rávilágít arra, hogy ezek a bővítmények milyen károkat okozhatnak. A cég által biztosított képernyőképek szerint amikor egy felhasználó csatlakozik az Alibaba Cloudhoz, a Google szerverei megkapják a jelszavát. De sem a Google-nak, sem a Microsoftnak nincs kapcsolata a szolgáltatással. Ez a kizsákmányolás, amelyet az Otto-JS „Spell-jackingként” emleget, bármely felhő-infrastruktúrát vagy belső vállalati hálózatot érinthet.
Az Otto-JS segített a szektor néhány óriásának elvégezni a szükséges korrekciókat, miután tájékoztatta őket a jogsértés létezését. Ez igaz például a LastPass jelszókezelőjéért felelős csapatokra. És az Amazon Web Services biztonsága. Alkalmazásának kódját a biztonsági személyzet gyorsan módosította, hogy megakadályozzák a helyesírás-ellenőrzőket abban, hogy hozzáférjenek a privát információkat tartalmazó szöveges területekhez.
A következő videóban megnézheti, hogyan lehet deaktiválni a fejlett helyesírás-ellenőrzőt a Google Chrome böngészőben.
Forrás/VIA:
