V pátek výzkumný tým otto-js publikoval článek o tom, jak uživatelé využívající pokročilé funkce kontroly pravopisu Google Chrome resp. Microsoft Edge může nevědomky přenášet hesla a osobní údaje (PII) na cloudové servery třetích stran. Nejen, že tato chyba zabezpečení vystavuje soukromé informace průměrného koncového uživatele riziku, ale může také ponechat administrativní pověření organizace a další informace související s infrastrukturou nezabezpečené pro nepovolané osoby.
Tuto zranitelnost objevil spoluzakladatel otto-js a technický ředitel Josh Summit při testování schopností společnosti detekovat chování skriptů. Během testování Samit a tým otto-js zjistili, že správná kombinace funkcí vylepšené kontroly pravopisu Chrome nebo MS Editoru v Edge nechtěně odhalila pole obsahující PII a další citlivé informace, když byly odeslány zpět na servery. Microsoft a Google. Obě funkce vyžadují od uživatelů explicitní akce, aby byly povoleny, a jakmile jsou povoleny, uživatelé si často neuvědomují, že jejich data jsou sdílena s třetími stranami.
Kromě údajů o polích tým otto-js také zjistil, že hesla uživatelů lze odhalit pomocí možnosti prohlížeče hesel. Tato možnost, která uživatelům pomůže vyhnout se nesprávnému zadávání hesel, nechtěně vystavuje heslo serverům třetích stran prostřednictvím pokročilých funkcí kontroly pravopisu.
Jednotliví uživatelé nejsou jedinou ohroženou stranou. Tato chyba zabezpečení by mohla vést ke kompromitaci firemních přihlašovacích údajů neoprávněnými třetími stranami. Tým otto-js poskytl následující příklady, které ukazují, jak mohou uživatelé přihlášení do cloudových služeb a účtů infrastruktury nevědomky přenášet své přihlašovací údaje na servery. Microsoft nebo Google.
První obrázek (výše) ukazuje příklad přihlášení k účtu Alibaba Cloud. Když se přihlásíte přes Chrome, pokročilá funkce kontroly pravopisu odešle informace o dotazech na servery Google bez povolení správce. Jak můžete vidět na snímku obrazovky (níže), tyto informace zahrnují skutečné heslo, které se zadává pro přihlášení do cloudu společnosti. Přístup k tomuto druhu informací může vést k čemukoli, od krádeže podnikových a zákaznických dat až po úplné ohrožení kritické infrastruktury.
Tým otto-js provedl testování a analýzu benchmarků zaměřených na sociální média, kancelářské nástroje, zdravotnictví, státní správu, elektronický obchod a bankovní/finanční služby. Více než 96 % z 30 testovaných kontrolních skupin poslalo data zpět Microsoft a Google. Když byla tato možnost vybrána, 73 % testovaných webů a skupin odeslalo hesla na servery třetích stran zobrazit heslo. Stránky a služby, které neposílaly hesla, tuto funkci prostě neměly zobrazit heslo a nebyly nutně náležitě chráněny.
Kontaktoval tým otto-js Microsoft 365, Alibaba Cloud, Google Cloud, AWS a LastPass, což je pět největších webů a poskytovatelů cloudových služeb, kteří představují největší riziko pro podnikové zákazníky. Podle aktualizací zabezpečení společnosti AWS a LastPass již odpověděly a uvedly, že problém byl úspěšně vyřešen.
Můžete pomoci Ukrajině v boji proti ruským vetřelcům. Nejlepším způsobem, jak toho dosáhnout, je darovat finanční prostředky ozbrojeným silám Ukrajiny prostřednictvím Zachraňte život nebo přes oficiální stránku NBÚ.
Přečtěte si také:
Buď v klidu, použij Firefox
+