Opozorilo: Ne aktivirajte Edge, Chromove izboljšane funkcije preverjanja črkovanja

Če uporabljate izboljšane funkcije preverjanja črkovanja Edge in Krom, je čas, da jih opustite, saj novo poročilo kaže, da lahko zmožnost dejansko pošlje podatke vaših obrazcev tehnološkim velikanom, ki imajo v lasti omenjene brskalnike. (prek Bleeping Computer)

Glede na Podjetje za varnost JavaScript z imenom otto-js, se to zgodi, ko Chromova funkcija izboljšanega preverjanja črkovanja (chrome://settings/?search=Enhanced+Spell+Check) in Dodatek brskalnika Edge Microsoft Editor Spelling & Grammar Checker uporabniki aktivirajo ročno. Kljub temu upoštevajte, da imata oba brskalnika privzeto omogočena lastna osnovna črkovalnika, vendar ne predstavljata varnostnega tveganja, saj se ne obnašata tako, kot se izboljšane funkcije.

Ko so funkcije aktivirane, lahko pošiljajo podatke Microsoftu in Googlu. Podatki, ki se bodo posredovali, so odvisni od obrazca, ki ga izpolnjujete na določenih spletnih mestih, kar pomeni, da več informacij delite in izpolnite polja obrazca, več podatkov je lahko poslanih podjetjem, ko so aktivirane izboljšane funkcije preverjanja črkovanja. Spletno mesto, ki ga obiskujete, lahko na primer zahteva, da navedete podatke, ki omogočajo osebno identifikacijo (PII), kot so vaše polno ime, domači naslov, e-poštni naslov, številka socialnega zavarovanja, številka potnega lista, številka vozniškega dovoljenja, številke kreditne kartice, datum rojstvo in še kaj. Še huje, vaša gesla bi se lahko posredovala tudi Microsoftu in Googlu, glede na raziskovalno skupino otto-js, ki je postopek poimenovala »Spell-jacking«, ki »krši temeljno varnostno načelo 'potrebe vedeti' in se lahko obravnava kot kršitev zasebnosti."

»Če je omogočeno 'pokaži geslo', funkcija celo pošlje vaše geslo njihovim strežnikom tretjih oseb,« je Josh Summitt, soustanovitelj in tehnični direktor otto JavaScript Security, delil odkritje med testiranjem zaznavanja vedenja skriptov podjetja. »Med raziskovanjem uhajanja podatkov v različnih brskalnikih smo našli kombinacijo funkcij, ki bodo, ko bodo omogočene, po nepotrebnem razkrile občutljive podatke tretjim osebam, kot sta Google in Microsoft. Zaskrbljujoče je, kako preprosto je omogočiti te funkcije in da jih bo večina uporabnikov omogočila, ne da bi se zares zavedali, kaj se dogaja v ozadju.«

Črkovanje se lahko zgodi na vseh spletnih mestih, če uporabljate Edge in Chrome in če delujejo njune izboljšane funkcije za preverjanje črkovanja. Da bi to dokazal, je otto-js delil, kako se je zgodilo, ko so se prijavili v Alibaba Cloud Account podjetja s poverilnicami zaposlenih (natančneje z geslom), ki so bile pozneje poslane Googlu. Poleg tega je otto-js delil video predstavitev, ki prikazuje, kako črkovanje razkrije infrastrukturo v oblaku podjetja, vključno s strežniki, bazami podatkov, e-poštnimi računi podjetja in upravitelji gesel.

»Videoposnetek uporablja običajen scenarij na delovnem mestu, da ponazori, kako enostavno je omogočiti funkcije preverjanja črkovanja, izboljšane v brskalniku, in kako lahko zaposleni izpostavi podjetje, ne da bi sploh vedel,« dodaja otto-js. "Večina CISO bi bila izjemno vznemirjena, ko bi izvedela, da so bile administrativne poverilnice njihovega podjetja nehote posredovane v obliki čistega besedila tretji osebi, tudi tisti, ki ji na splošno zaupajo."

Podjetje za varnost JavaScript je dodatno poudarilo imena podjetij in storitev, na katere bi lahko vplivala težava. Vključuje Alibaba – Cloud Service, Office 365 in Google Cloud – Secret Manager. AWS – Secrets Manager in LastPass sta bila prvotno vključena na seznam, vendar je otto-js dejal, da sta oba "že v celoti ublažila težavo."

Poleg tega, da sta Chromova funkcija Enhanced spell check in Edgejev Microsoft Editor Spelling & Grammar Checker dodatek brskalnika ostala nedotaknjena in deaktivirana, je otto-js dejal, da obstajajo dodatni načini, s katerimi bi lahko podjetja preprečila težavo črkovanja z dodajanjem »spellcheck=false«.

»Podjetja lahko zmanjšajo tveganje pri razkrivanju podatkov, ki omogočajo osebno prepoznavo svojih strank – z dodajanjem »spellcheck=false« vsem vnosnim poljem, čeprav bi to lahko povzročilo težave uporabnikom,« predlaga otto-js. »Lahko pa ga dodate samo v polja obrazca z občutljivimi podatki. Podjetja lahko tudi odstranijo možnost »pokaži geslo«. To ne bo preprečilo črkovanja, vendar bo preprečilo pošiljanje uporabniških gesel. Podjetja lahko uporabljajo tudi varnostno programsko opremo na strani odjemalca, kot je otto-js, za spremljanje in nadzor skriptov tretjih oseb.«

Varnostno podjetje je dejalo, da ni znano, ali se podatki, posredovani Microsoftu in Googlu, shranjujejo ali kako se z njimi upravlja. Microsoft še vedno ni izdal nobenega komentarja o tem, vendar je Googlov tiskovni predstavnik za BleepingComputer povedal, da "Google tega ne pripne nobeni uporabniški identiteti in ga samo začasno obdeluje na strežniku."