Bigme KIVI KidsTV
Categories: Новини IT

Перевірка орфографії у браузерах Google та Microsoft може призвести до крадіжки персональних даних

У п’ятницю дослідна група otto-js опублікувала статтю про те, як користувачі, які використовують розширені функції перевірки правопису в Google Chrome або Microsoft Edge, можуть неусвідомлено передавати паролі та персональну інформацію (PII) на сторонні сервери хмар. Ця вразливість не тільки ризикує приватною інформацією звичайного кінцевого користувача, але й може залишити адміністративні облікові дані організації та іншу інформацію, пов’язану з інфраструктурою, незахищеною для сторонніх осіб.

Уразливість була виявлена ​​співзасновником та головним технічним директором компанії otto-js Джошем Самітом під час тестування можливостей компанії щодо виявлення поведінки скриптів. Під час тестування Саміт та команда otto-js виявили, що правильне поєднання функцій у покращеній перевірці орфографії Chrome або MS Editor в Edge ненавмисно розкриває польові дані, що містять PII та іншу конфіденційну інформацію, надсилаючи їх назад на сервери Microsoft та Google. Обидві функції вимагають від користувачів явних дій для їх увімкнення, а після включення користувачі часто не знають, що їх дані передаються третім особам.

Крім польових даних команда otto-js також виявила, що паролі користувачів можуть бути розкриті через опцію перегляду пароля. Ця опція, яка допоможе користувачам уникнути неправильного введення паролів, ненавмисно розкриває пароль стороннім серверам через розширені функції перевірки орфографії.

Індивідуальні користувачі — не єдина сторона, схильна до ризику. Вразливість може призвести до того, що облікові дані корпоративних організацій можуть бути скомпрометовані неавторизованими третіми особами. Команда otto-js навела такі приклади, що показують, як користувачі, які входять до облікових записів хмарних сервісів та інфраструктури, можуть несвідомо передати свої облікові дані на сервери Microsoft або Google.

На першому зображенні (вище) представлений приклад входу до облікового запису Alibaba Cloud. При вході в систему через Chrome функція розширеної перевірки орфографії передає інформацію про запит на сервери Google без дозволу адміністратора. Як видно на скріншоті (нижче), ця інформація включає фактичний пароль, який вводиться для входу в хмару компанії. Доступ до такого роду інформації може призвести до будь-чого — від крадіжки корпоративних даних та даних клієнтів до повної компрометації критично важливої інфраструктури.

Команда otto-js провела тестування та аналіз у контрольних групах, орієнтованих на соціальні мережі, офісні інструменти, охорону здоров’я, уряд, електронну комерцію та банківські/фінансові послуги. Понад 96% із 30 протестованих контрольних груп надсилали дані назад до Microsoft та Google. 73% протестованих сайтів та груп відправляли паролі на сторонні сервери, коли було обрано опцію показати пароль. Ті сайти та сервіси, які не надсилали паролі, просто не мали функції показати пароль та не обов’язково були належним чином захищені.

Команда otto-js зв’язалася з Microsoft 365, Alibaba Cloud, Google Cloud, AWS і LastPass, які є п’ятьма найбільшими сайтами та постачальниками хмарних послуг, що становлять найбільший ризик для корпоративних клієнтів. Згідно з оновленнями компанії з безпеки, AWS та LastPass вже відповіли і повідомили, що проблема була успішно усунена.

Ви можете допомогти Україні боротися з російськими окупантами. Найкращий спосіб зробити це – пожертвувати кошти Збройним Силам України через Savelife або через офіційну сторінку НБУ.

Читайте також:

Share
Julia Alexandrova

Кофеман. Фотограф. Пишу про науку та космос. Вважаю, нам ще рано зустрічатися з прибульцями. Стежу за розвитком робототехніки, на всяк випадок ...

Leave a Reply

Your email address will not be published. Required fields are marked*

View Comments

  • Keep calm, use Firefox

    Cancel reply

    Leave a Reply

    Your email address will not be published. Required fields are marked*

    • +

      Cancel reply

      Leave a Reply

      Your email address will not be published. Required fields are marked*