Upozorenje: Nemojte aktivirati Edge, Chrome poboljšane značajke provjere pravopisa

Ako koristite značajke poboljšane provjere pravopisa rub i krom, vrijeme je da ih prestanete jer novo izvješće pokazuje da ta mogućnost zapravo može slati vaše podatke obrasca tehnološkim divovima koji posjeduju navedene preglednike. (preko Računalo za spavanje)

Prema Tvrtka za sigurnost JavaScripta pod nazivom otto-js, to se događa kada Chromeova značajka poboljšane provjere pravopisa (chrome://settings/?search=Enhanced+Spell+Check) i Edgeov Microsoft Editor Spelling & Grammar Checker dodatak pregledniku aktiviraju ručno korisnici. Unatoč tome, imajte na umu da oba preglednika imaju vlastite osnovne provjere pravopisa omogućene prema zadanim postavkama, ali ne predstavljaju sigurnosni rizik jer se ne ponašaju na način na koji se ponašaju poboljšane značajke.

Kada se aktiviraju, značajke mogu slati podatke Microsoftu i Googleu. Informacije koje će se prenijeti ovise o obrascu koji ispunjavate na određenim web-mjestima, što znači da što više informacija podijelite i ispunite polja obrasca, više podataka može biti poslano tvrtkama kada se aktiviraju poboljšane značajke provjere pravopisa. Na primjer, web-mjesto koje posjećujete može zahtijevati da date svoje osobne podatke (PII), kao što su vaše puno ime, kućna adresa, adresa e-pošte, broj socijalnog osiguranja, broj putovnice, broj vozačke dozvole, brojevi kreditnih kartica, datum rođenja, i više. Što je još gore, vaše se lozinke također mogu prenijeti Microsoftu i Googleu, prema Otto-js Istraživačkom timu, nazivajući proces "Spell-jacking" koji "krši temeljno sigurnosno načelo 'treba znati' i može se smatrati povreda privatnosti.”

"Ako je 'pokaži lozinku' omogućena, značajka čak šalje vašu lozinku njihovim poslužiteljima trećih strana," Josh Summitt, suosnivač i tehnički direktor otto JavaScript Security, podijelio je otkriće dok je testirao otkrivanje ponašanja skripte tvrtke. “Dok smo istraživali curenje podataka u različitim preglednicima, pronašli smo kombinaciju značajki koje će, nakon što su omogućene, nepotrebno izložiti osjetljive podatke trećim stranama kao što su Google i Microsoft. Ono što zabrinjava jest koliko je lako omogućiti te značajke i da će većina korisnika omogućiti te značajke, a da zapravo ne shvaćaju što se događa u pozadini.”

Provjera pravopisa može se dogoditi na svim web stranicama sve dok koristite Edge i Chrome i ako rade njihove poboljšane značajke provjere pravopisa. Kako bi to dokazao, otto-js je podijelio kako se to dogodilo kada su se prijavili na Alibaba Cloud račun tvrtke koristeći vjerodajnice zaposlenika (točnije lozinku), koje su kasnije poslane Googleu. Nadalje, otto-js je podijelio video demonstraciju koja pokazuje kako spell jacking izlaže kompanijsku infrastrukturu u oblaku, uključujući poslužitelje, baze podataka, korporativne račune e-pošte i upravitelje lozinki.

"Videozapis koristi uobičajeni scenarij na radnom mjestu kako bi ilustrirao koliko je jednostavno omogućiti značajke provjere pravopisa poboljšane preglednikom i kako bi zaposlenik mogao izložiti tvrtku, a da to uopće nije svjestan", dodaje otto-js. "Većina CISO-ova bila bi krajnje uznemirena kada bi saznala da su administrativne vjerodajnice njihove tvrtke nenamjerno podijeljene u čistom tekstu s trećom stranom, čak i onom kojoj općenito vjeruju."

Sigurnosna tvrtka za JavaScript dodatno je naglasila imena tvrtki i usluga na koje bi problem mogao utjecati. Uključuje Alibaba – Cloud Service, Office 365 i Google Cloud – Secret Manager. AWS – Secrets Manager i LastPass izvorno su bili uključeni na popis, ali otto-js je rekao da su oba "već u potpunosti ublažila problem."

Osim što je Chromeova poboljšana značajka provjere pravopisa i Edgeov Microsoft Editor Spelling & Grammar Checker dodatak preglednika ostali netaknuti i deaktivirani, otto-js je rekao da postoje dodatni načini na koje tvrtke mogu spriječiti problem spell-jackinga dodavanjem "spellcheck=false".

"Tvrtke mogu ublažiti rizik od dijeljenja podataka koji otkrivaju identitet svojih klijenata – dodavanjem 'spellcheck=false' u sva polja za unos, iako bi to moglo stvoriti probleme korisnicima", predlaže otto-js. “Alternativno, možete ga dodati samo u polja obrasca s osjetljivim podacima. Tvrtke također mogu ukloniti mogućnost 'prikazivanja lozinke'. To neće spriječiti spell-jacking, ali će spriječiti slanje korisničkih lozinki. Tvrtke također mogu koristiti sigurnosni softver na strani klijenta kao što je otto-js za praćenje i kontrolu skripti trećih strana.”

Sigurnosna tvrtka rekla je da nije poznato pohranjuju li se podaci preneseni Microsoftu i Googleu ili kako se njima upravlja. Microsoft još uvijek nije objavio nikakav komentar o tome, ali glasnogovornik Googlea rekao je za BleepingComputer da "Google to ne pridaje niti jednom korisničkom identitetu i samo ga privremeno obrađuje na poslužitelju."