I fredags offentliggjorde otto-js-forskerholdet en artikel om, hvordan brugere bruger de avancerede stavekontrolfunktioner i Google Chrome eller Microsoft Edge, kan ubevidst overføre adgangskoder og personligt identificerbare oplysninger (PII) til tredjeparts cloud-servere. Denne sårbarhed sætter ikke kun den gennemsnitlige slutbrugers private oplysninger i fare, men den kan også efterlade en organisations administrative legitimationsoplysninger og andre infrastrukturrelaterede oplysninger usikrede for udenforstående.
Sårbarheden blev opdaget af otto-js medstifter og CTO Josh Summit, mens han testede virksomhedens scriptadfærdsdetektionsfunktioner. Under testen fandt Samit og otto-js-teamet ud af, at den rigtige kombination af funktioner i Chromes forbedrede stavekontrol eller MS Editor i Edge utilsigtet eksponerede feltdata indeholdende PII og andre følsomme oplysninger, når de blev sendt tilbage til serverne Microsoft og Google. Begge funktioner kræver eksplicitte handlinger fra brugere for at aktivere dem, og når de først er aktiveret, er brugere ofte uvidende om, at deres data bliver delt med tredjeparter.
Ud over feltdataene opdagede otto-js-teamet også, at brugernes adgangskoder kunne afsløres gennem adgangskodefremviseren. Denne mulighed, som vil hjælpe brugere med at undgå at indtaste adgangskoder forkert, udsætter utilsigtet adgangskoden for tredjepartsservere gennem avancerede stavekontrolfunktioner.
Individuelle brugere er ikke den eneste risikopart. Sårbarheden kan resultere i, at virksomhedens legitimationsoplysninger bliver kompromitteret af uautoriserede tredjeparter. otto-js-teamet leverede følgende eksempler, der viser, hvordan brugere, der er logget på cloud-tjenester og infrastrukturkonti, ubevidst kan overføre deres legitimationsoplysninger til servere Microsoft eller Google.
Det første billede (ovenfor) viser et eksempel på at logge ind på en Alibaba Cloud-konto. Når du logger ind via Chrome, sender den avancerede stavekontrolfunktion forespørgselsoplysninger til Googles servere uden administratortilladelse. Som du kan se på skærmbilledet (nedenfor), inkluderer denne information selve adgangskoden, der indtastes for at logge ind i virksomhedens sky. Adgang til denne form for information kan føre til alt fra tyveri af virksomheds- og kundedata til fuldstændig kompromittering af kritisk infrastruktur.
Otto-js-teamet udførte test og analyse af benchmarks rettet mod sociale medier, kontorværktøjer, sundhedspleje, regering, e-handel og bank/finansielle tjenester. Over 96 % af de 30 testede kontrolgrupper sendte data tilbage til Microsoft og Google. 73 % af testede websteder og grupper sendte adgangskoder til tredjepartsservere, da indstillingen blev valgt Vis adgangskode. De websteder og tjenester, der ikke sendte adgangskoder, havde simpelthen ikke funktionen Vis adgangskode og var ikke nødvendigvis ordentligt beskyttet.
Otto-js-teamet kontaktede Microsoft 365, Alibaba Cloud, Google Cloud, AWS og LastPass, som er de fem bedste websteder og cloud-tjenesteudbydere, der udgør den største risiko for virksomhedskunder. Ifølge virksomhedens sikkerhedsopdateringer har AWS og LastPass allerede reageret og sagt, at problemet er blevet løst.
Du kan hjælpe Ukraine med at kæmpe mod de russiske angribere. Den bedste måde at gøre dette på er at donere midler til Ukraines væbnede styrker gennem Red livet eller via den officielle side NBU.
Læs også:
Bevar roen, brug Firefox
+