Napaka slovnične razširitve bi lahko podatke izpostavila zlonamernim akterjem
1 min. prebrati
Objavljeno dne
Preberite našo stran za razkritje, če želite izvedeti, kako lahko pomagate MSPoweruser vzdrževati uredniško skupino Preberi več
V začetku tega tedna je bilo ugotovljeno, da ima Grammarly napako, ki je izpostavila uporabniške podatke vsem spletnim mestom, na katerih so bili uporabljeni. To je bilo storjeno tako, da se spletnim mestom razkrije njegov avtorizacijski žeton, kar pomeni, da bi se lahko vsako spletno mesto, na katerem je uporabnik Grammarlyja uporabil razširitev, teoretično prijavilo v uporabniški račun in pridobilo dostop do podatkov o svojem računu in vnesenih dokumentov (če obstajajo).
O tem je poročal Googlov projekt Zero ekipa in razkrita šele potem, ko je imela ekipa Grammarly možnost, da objavi posodobitve, ki odpravljajo napako.
Odpravljena ranljivost v razširitvi Grammarly (20 milijonov uporabnikov), uporabniki bi morali biti samodejno posodobljeni na fiksno različico. Žetoni za potrditev so bili dostopni spletnim mestom, kar je vsakemu spletnemu mestu omogočilo, da se prijavi v vaš račun in prebere vse vaše dokumente. https://t.co/Ydk0JwArYD
- Tavis Ormandy (@taviso) Februar 5, 2018
Razširitve za Chrome in Firefox so bile hitro popravljene, medtem ko Edge sploh ni trpel zaradi hrošča.
V izjavi za Gizmodo, je potrdil predstavnik Grammarlyja: "Napaka je odpravljena in uporabniki Grammarlyja ne zahtevajo nobenega ukrepanja." Ni bilo primerov, da bi slabi akterji uporabili ranljivost za dostop do uporabniških podatkov.