Varoitus: Älä aktivoi Edgen, Chromen parannettuja oikolukuominaisuuksia
4 min. lukea
Julkaistu
Jaa tämä artikkeli
Paranna tätä ohjetta
Lue ilmoitussivumme saadaksesi selville, kuinka voit auttaa MSPoweruseria ylläpitämään toimitustiimiä Lue lisää
Jos käytät parannettuja oikolukuominaisuuksia reuna ja kromi, on aika lopettaa ne, sillä uusi raportti osoittaa, että ominaisuus voi todella lähettää lomaketietosi teknologiajättiläisille, jotka omistavat mainitut selaimet. (kautta Bleeping Computer)
Mukaan JavaScript-turvayhtiö nimeltä otto-js, tämä tapahtuu, kun Chromen tehostettu oikeinkirjoituksen tarkistusominaisuus (chrome://settings/?search=Enhanced+Spell+Check) ja Edgen Microsoft Editor Spelling & Grammar Checker -selaimen lisäosa käyttäjät aktivoivat ne manuaalisesti. Huomaa kuitenkin, että molemmissa selaimissa on omat perusoikolukunsa oletuksena käytössä, mutta ne eivät aiheuta turvallisuusriskiä, koska ne eivät toimi kuten parannetut ominaisuudet.
Kun ominaisuudet on aktivoitu, ne voivat lähettää tietoja Microsoftille ja Googlelle. Lähetettävät tiedot riippuvat lomakkeesta, jota täytät tietyillä verkkosivustoilla, mikä tarkoittaa, että mitä enemmän tietoja jaat ja täytät lomakkeen kenttiä, sitä enemmän tietoja voidaan lähettää yrityksille, kun parannetut oikolukuominaisuudet aktivoidaan. Esimerkiksi verkkosivusto, jolla vierailet, saattaa vaatia sinua antamaan henkilökohtaiset tunnistetietosi (PII), kuten koko nimesi, kotiosoitteesi, sähköpostiosoitteesi, sosiaaliturvatunnuksesi, passin numero, ajokortin numero, luottokorttinumerot, päivämäärä synnytys ja paljon muuta. Mikä pahempaa, salasanasi voidaan välittää myös Microsoftille ja Googlelle, otto-js:n tutkimusryhmä kutsuu prosessia "Spell-jackingiksi", joka "rikoo tietoturvan perusperiaatetta ja jota voidaan pitää yksityisyyden loukkaus."
"Jos "näytä salasana" on käytössä, ominaisuus jopa lähettää salasanasi heidän kolmannen osapuolen palvelimille", Josh Summitt, otto JavaScript Securityn perustaja ja tekninen johtaja, kertoi havainnosta testatessaan yrityksen skriptien käyttäytymisen havaitsemista. "Tutkiessamme tietovuotoja eri selaimissa, löysimme yhdistelmän ominaisuuksia, jotka käyttöönoton jälkeen paljastavat tarpeettomasti arkaluonteisia tietoja kolmansille osapuolille, kuten Googlelle ja Microsoftille. Huolestuttavaa on se, kuinka helppoa nämä ominaisuudet ovat käytössä ja että useimmat käyttäjät ottavat nämä ominaisuudet käyttöön ymmärtämättä, mitä taustalla tapahtuu."
Oikoluku voi tapahtua kaikilla verkkosivustoilla, kunhan käytät Edgeä ja Chromea ja niiden parannetut oikeinkirjoituksen tarkistusominaisuudet toimivat. Todistaakseen sen otto-js kertoi, kuinka se tapahtui, kun he kirjautuivat yrityksen Alibaba Cloud -tilille työntekijän tunnistetiedoilla (erityisesti salasanalla), jotka myöhemmin lähetettiin Googlelle. Lisäksi otto-js jakoi esittelyvideon, jossa oikoluku paljastaa yrityksen pilviinfrastruktuurin, mukaan lukien palvelimet, tietokannat, yritysten sähköpostitilit ja salasananhallintalaitteet.
"Videossa käytetään työpaikalla yleistä skenaariota havainnollistamaan, kuinka helppoa on ottaa käyttöön selaimella tehostetut oikeinkirjoituksen tarkistusominaisuudet ja kuinka työntekijä voi paljastaa yrityksen tietämättään", otto-js lisää. "Useimmat CISO:t olisivat erittäin huolestuneita kuullessaan, että heidän yrityksensä hallinnolliset tunnistetiedot jaettiin tahattomasti selkeänä tekstinä kolmannelle osapuolelle, jopa sellaiselle, johon he yleensä luottavat."
JavaScript-tietoturvayhtiö korosti edelleen niiden yritysten ja palveluiden nimet, joihin ongelma saattaa vaikuttaa. Se sisältää Alibaba – Cloud Servicen, Office 365:n ja Google Cloudin – Secret Managerin. AWS – Secrets Manager ja LastPass sisällytettiin alun perin luetteloon, mutta otto-js sanoi, että molemmat ovat "jo lieventäneet ongelmaa täysin".
Sen lisäksi, että Chromen Enhanced spell check -ominaisuus ja Edgen Microsoft Editor Spelling & Grammar Checker -selaimen lisäosa säilytetään koskemattomina ja deaktivoituina, otto-js sanoi, että on olemassa muita tapoja, joilla yritykset voivat estää oikeinkirjoituksen katkaisuongelman lisäämällä "spellcheck=false".
"Yritykset voivat vähentää riskiä jakaa asiakkaidensa henkilökohtaisia tunnistetietoja lisäämällä "spellcheck=false" kaikkiin syöttökenttiin, vaikka tämä voi aiheuttaa ongelmia käyttäjille", otto-js ehdottaa. "Vaihtoehtoisesti voit lisätä sen vain arkaluonteisia tietoja sisältäviin lomakekenttiin. Yritykset voivat myös poistaa mahdollisuuden "näytä salasana". Tämä ei estä oikeinkirjoituksen kaappausta, mutta se estää käyttäjien salasanojen lähettämisen. Yritykset voivat myös käyttää asiakaspuolen tietoturvaohjelmistoja, kuten otto-js:ää, valvomaan ja hallitsemaan kolmannen osapuolen komentosarjoja."
Tietoturvayhtiön mukaan ei ole tiedossa, tallennetaanko Microsoftille ja Googlelle lähetettyjä tietoja tai miten niitä hallitaan. Microsoft ei ole vieläkään kommentoinut sitä, mutta Googlen tiedottaja kertoi BleepingComputerille, että "Google ei liitä sitä mihinkään käyttäjäidentiteettiin ja käsittelee sitä vain väliaikaisesti palvelimella."
