경고: Edge, Chrome 고급 맞춤법 검사 기능을 활성화하지 마십시오.

» 브라우저

독서 시간 아이콘 4 분. 읽다

달력 아이콘 에 게시됨

by 샤론 베넷 

에 게시

이 기사 공유

독자들은 MSpoweruser를 지원하는 데 도움을 줍니다. 당사의 링크를 통해 구매하시면 수수료를 받을 수 있습니다. 툴팁 아이콘

공개 페이지를 읽고 MSPoweruser가 편집팀을 유지하는 데 어떻게 도움을 줄 수 있는지 알아보세요. 자세히 보기

의 향상된 맞춤법 검사 기능을 사용하는 경우 Edge크롬, 새로운 보고서에 따르면 기능이 실제로 해당 브라우저를 소유한 기술 거물에게 양식 데이터를 보낼 수 있음을 보여주므로 종료할 때입니다. (을 통해 멍청한 컴퓨터)

이에 따르면 otto-js라는 자바스크립트 보안 회사, Chrome의 향상된 맞춤법 검사 기능(chrome://settings/?search=Enhanced+Spell+Check) 및 Edge의 Microsoft Editor 맞춤법 및 문법 검사기 브라우저 애드온 사용자가 수동으로 활성화합니다. 그럼에도 불구하고 두 브라우저 모두 기본적으로 자체 기본 맞춤법 검사기가 활성화되어 있지만 향상된 기능이 작동하는 방식으로 동작하지 않기 때문에 보안 위험을 제기하지 않습니다.

기능이 활성화되면 Microsoft와 Google에 데이터를 보낼 수 있습니다. 전송되는 정보는 특정 웹사이트에서 작성하는 양식에 따라 다릅니다. 즉, 더 많은 정보를 공유하고 양식 필드를 작성할수록 향상된 맞춤법 검사 기능이 활성화될 때 더 많은 데이터가 회사에 전송될 수 있습니다. 예를 들어, 귀하가 방문하는 웹사이트에서 귀하의 성명, 집 주소, 이메일 주소, 사회 보장 번호, 여권 번호, 운전 면허증 번호, ​​신용 카드 번호, 날짜와 같은 개인 식별 정보(PII)를 제공해야 할 수 있습니다. 출생 등. 설상가상으로 otto-js 연구 팀에 따르면 귀하의 비밀번호가 Microsoft와 Google에 전송될 수 있으며 이 프로세스는 "알아야 할 사항"의 기본 보안 원칙을 위반하는 "스펠재킹" 프로세스라고 합니다. 사생활 침해”

otto JavaScript Security의 공동 설립자이자 CTO인 Josh Summitt는 "'비밀번호 표시'가 활성화되어 있으면 이 기능이 귀하의 비밀번호를 타사 서버로 보내기도 합니다."라고 회사의 스크립트 동작 탐지를 테스트하면서 발견한 내용을 공유했습니다. “여러 브라우저에서 데이터 누출을 조사하는 동안 우리는 일단 활성화되면 민감한 데이터를 Google 및 Microsoft와 같은 제3자에게 불필요하게 노출시키는 기능의 조합을 발견했습니다. 우려되는 것은 이러한 기능을 얼마나 쉽게 활성화할 수 있고 대부분의 사용자는 백그라운드에서 무슨 일이 일어나고 있는지 깨닫지 못한 채 이러한 기능을 활성화할 것이라는 점입니다.”

Alibaba Cloud 데모에서 스펠재킹 유출
Alibaba Cloud 계정 자격 증명이 Google로 전송 중입니다.

Edge 및 Chrome을 사용하고 향상된 맞춤법 검사 기능이 작동하는 한 모든 웹사이트에서 맞춤법 해킹이 발생할 수 있습니다. 이를 증명하기 위해 otto-js는 나중에 Google로 전송된 직원 자격 증명(특히 비밀번호)을 사용하여 회사의 Alibaba Cloud 계정에 로그인했을 때 어떻게 되었는지 공유했습니다. 또한 otto-js는 스펠재킹이 서버, 데이터베이스, 회사 이메일 계정 및 비밀번호 관리자를 포함한 회사의 클라우드 인프라를 노출시키는 방법을 보여주는 비디오 데모를 공유했습니다.

otto-js는 "이 비디오는 직장에서 흔히 볼 수 있는 시나리오를 사용하여 브라우저로 강화된 맞춤법 검사 기능을 사용하는 것이 얼마나 쉬운지, 직원이 알지 못하는 사이에 회사를 노출시킬 수 있는 방법을 보여줍니다."라고 덧붙입니다. "대부분의 CISO는 회사의 관리 자격 증명이 일반적으로 신뢰하는 제XNUMX자와도 무의식적으로 일반 텍스트로 공유된다는 사실을 알게 되면 극도로 경악할 것입니다."

JavaScript 보안 회사는 문제의 영향을 받을 수 있는 회사 및 서비스의 이름을 추가로 강조했습니다. 여기에는 Alibaba – Cloud Service, Office 365 및 Google Cloud – Secret Manager가 포함됩니다. AWS – Secrets Manager와 LastPass가 원래 목록에 포함되었지만 otto-js는 둘 다 "이미 문제를 완전히 완화"했다고 말했습니다.

Chrome의 향상된 맞춤법 검사 기능과 Edge의 Microsoft Editor Spelling & Grammar Checker 브라우저 애드온을 그대로 유지하고 비활성화하는 것 외에도 otto-js는 "spellcheck=false"를 추가하여 회사에서 맞춤법 해킹 문제를 방지할 수 있는 추가 방법이 있다고 말했습니다.

otto-js는 "회사는 모든 입력 필드에 'spellcheck=false'를 추가하여 고객의 PII를 공유할 위험을 완화할 수 있지만 이는 사용자에게 문제를 일으킬 수 있습니다."라고 제안합니다. "또는 민감한 데이터가 있는 양식 필드에만 추가할 수 있습니다. 회사는 '비밀번호 표시' 기능을 제거할 수도 있습니다. 그렇다고 해서 스펠재킹이 방지되는 것은 아니지만 사용자 비밀번호가 전송되는 것은 방지할 수 있습니다. 회사는 otto-js와 같은 클라이언트 측 보안 소프트웨어를 사용하여 타사 스크립트를 모니터링하고 제어할 수도 있습니다."

이 보안 회사는 마이크로소프트와 구글에 전송된 데이터가 저장되고 있는지 또는 어떻게 관리되는지 알 수 없다고 말했다. 마이크로소프트는 아직 이에 대해 어떠한 논평도 내놓지 않았지만 구글 대변인은 블리핑컴퓨터에 "구글은 사용자 ID에 연결하지 않고 서버에서 일시적으로만 처리한다"고 말했다.

주제에 대한 추가 정보: 향상된 맞춤법 검사, 구글 크롬, 마이크로 소프트 에지, 보안

샤론 베넷

샤론 베넷 방패

보고자

Sharron은 mspoweruser.com의 기술 기자입니다. 그녀는 Sony, Samsung, Google 등과 같은 브랜드의 대부분의 기술 뉴스를 다룹니다.