คำเตือน: อย่าเปิดใช้งาน Edge คุณลักษณะการตรวจตัวสะกดของ Chrome ที่ปรับปรุงแล้ว

หน้าแรก » เบราว์เซอร์

ไอคอนเวลาอ่านหนังสือ 4 นาที. อ่าน

ไอคอนปฏิทิน เผยแพร่เมื่อ

by ชารอน เบนเน็ต 

เผยแพร่บน

แชร์บทความนี้

ผู้อ่านช่วยสนับสนุน MSpoweruser เราอาจได้รับค่าคอมมิชชันหากคุณซื้อผ่านลิงก์ของเรา ไอคอนคำแนะนำเครื่องมือ

อ่านหน้าการเปิดเผยข้อมูลของเราเพื่อดูว่าคุณจะช่วย MSPoweruser รักษาทีมบรรณาธิการได้อย่างไร อ่านเพิ่มเติม

หากคุณกำลังใช้คุณสมบัติการตรวจตัวสะกดขั้นสูงของ ขอบ และ Chromeถึงเวลาเลิกใช้แล้ว เนื่องจากรายงานฉบับใหม่แสดงความสามารถในการส่งข้อมูลแบบฟอร์มของคุณไปยังยักษ์ใหญ่ด้านเทคโนโลยีที่เป็นเจ้าของเบราว์เซอร์ดังกล่าว (ทาง คอมพิวเตอร์กำลังหลับอยู่)

จากการวิเคราะห์เพื่อบรรลุเป้าหมายของ บริษัทรักษาความปลอดภัย JavaScript ชื่อ otto-jsสิ่งนี้จะเกิดขึ้นเมื่อคุณลักษณะการตรวจสอบตัวสะกดที่ปรับปรุงแล้วของ Chrome (chrome://settings/?search=Enhanced+Spell+Check) และ โปรแกรมเสริมเบราว์เซอร์ Microsoft Editor Spelling & Grammar Checker ของ Edge เปิดใช้งานด้วยตนเองโดยผู้ใช้ อย่างไรก็ตาม โปรดทราบว่าทั้งสองเบราว์เซอร์มีเครื่องตรวจการสะกดพื้นฐานที่เปิดใช้งานโดยค่าเริ่มต้น แต่ไม่มีความเสี่ยงด้านความปลอดภัยเนื่องจากไม่ได้ทำงานในลักษณะที่คุณลักษณะขั้นสูงทำ

เมื่อเปิดใช้งาน คุณลักษณะนี้จะส่งข้อมูลไปยัง Microsoft และ Google ข้อมูลที่จะส่งขึ้นอยู่กับแบบฟอร์มที่คุณกรอกในเว็บไซต์เฉพาะ ซึ่งหมายความว่ายิ่งคุณแบ่งปันและกรอกฟิลด์ในแบบฟอร์มมากเท่าใด ข้อมูลก็จะถูกส่งไปยังบริษัทมากขึ้นเมื่อเปิดใช้งานคุณสมบัติการตรวจตัวสะกดที่ปรับปรุงแล้ว ตัวอย่างเช่น เว็บไซต์ที่คุณกำลังเข้าชมอาจกำหนดให้คุณต้องระบุข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้ (PII) เช่น ชื่อเต็ม ที่อยู่บ้าน ที่อยู่อีเมล หมายเลขประกันสังคม หมายเลขหนังสือเดินทาง หมายเลขใบอนุญาตขับขี่ หมายเลขบัตรเครดิต วันที่ของ การเกิดและอื่น ๆ ที่แย่กว่านั้น รหัสผ่านของคุณอาจถูกส่งไปยัง Microsoft และ Google ตามทีมวิจัย otto-js ซึ่งเรียกกระบวนการนี้ว่า "การสะกดคำ" ที่ "ละเมิดหลักการรักษาความปลอดภัยขั้นพื้นฐานของ 'สิ่งที่จำเป็นต้องรู้' และอาจถือได้ว่าเป็น ละเมิดความเป็นส่วนตัว”

“หากเปิดใช้งาน 'แสดงรหัสผ่าน' คุณลักษณะดังกล่าวจะส่งรหัสผ่านของคุณไปยังเซิร์ฟเวอร์บุคคลที่สาม” Josh Summitt ผู้ร่วมก่อตั้งและ CTO ของ otto JavaScript Security แบ่งปันการค้นพบขณะทดสอบการตรวจจับพฤติกรรมสคริปต์ของบริษัท “ในขณะที่ทำการวิจัยข้อมูลรั่วไหลในเบราว์เซอร์ต่างๆ เราพบว่ามีการผสมผสานคุณสมบัติต่างๆ ที่เมื่อเปิดใช้งานแล้ว จะเปิดเผยข้อมูลที่ละเอียดอ่อนต่อบุคคลที่สามเช่น Google และ Microsoft โดยไม่จำเป็น สิ่งที่น่ากังวลก็คือความง่ายในการเปิดใช้งานคุณลักษณะเหล่านี้ และผู้ใช้ส่วนใหญ่จะเปิดใช้งานคุณลักษณะเหล่านี้โดยไม่ทราบว่าเกิดอะไรขึ้นในเบื้องหลัง"

การรั่วไหลของการสะกดผิดในการสาธิตของ Alibaba Cloud
ข้อมูลประจำตัวของบัญชี Alibaba Cloud กำลังถูกส่งไปยัง Google

การสะกดผิดสามารถเกิดขึ้นได้กับทุกเว็บไซต์ ตราบใดที่คุณใช้ Edge และ Chrome และคุณมีฟีเจอร์ตรวจการสะกดที่ปรับปรุงแล้วทำงานได้ เพื่อพิสูจน์ว่า otto-js ได้แบ่งปันว่ามันเกิดขึ้นเมื่อพวกเขาลงชื่อเข้าใช้บัญชี Alibaba Cloud ของบริษัทโดยใช้ข้อมูลประจำตัวของพนักงาน (โดยเฉพาะรหัสผ่าน) ซึ่งถูกส่งไปยัง Google ในภายหลัง นอกจากนี้ otto-js ได้แชร์วิดีโอสาธิตที่แสดงให้เห็นว่าการสะกดผิดทำให้โครงสร้างพื้นฐานระบบคลาวด์ของบริษัทเปิดเผยได้อย่างไร ซึ่งรวมถึงเซิร์ฟเวอร์ ฐานข้อมูล บัญชีอีเมลของบริษัท และผู้จัดการรหัสผ่าน

“วิดีโอใช้สถานการณ์ทั่วไปในที่ทำงานเพื่อแสดงให้เห็นว่าการเปิดใช้งานฟีเจอร์ตรวจการสะกดที่ปรับปรุงเบราว์เซอร์นั้นง่ายเพียงใด และวิธีที่พนักงานสามารถเปิดเผยบริษัทโดยที่ไม่เคยรู้มาก่อน” otto-js กล่าวเสริม “CISO ส่วนใหญ่จะตื่นตระหนกอย่างยิ่งเมื่อรู้ว่าข้อมูลประจำตัวของผู้ดูแลระบบของบริษัทของพวกเขาถูกแบ่งปันโดยไม่ได้ตั้งใจในข้อความที่ชัดเจนกับบุคคลที่สาม แม้แต่ข้อมูลที่พวกเขาเชื่อถือโดยทั่วไป”

บริษัทรักษาความปลอดภัย JavaScript ได้เน้นย้ำชื่อของบริษัทและบริการที่อาจได้รับผลกระทบจากปัญหาดังกล่าว ซึ่งรวมถึง Alibaba – Cloud Service, Office 365 และ Google Cloud – Secret Manager AWS – Secrets Manager และ LastPass เดิมรวมอยู่ในรายการแล้ว แต่ otto-js กล่าวว่าทั้งคู่ได้ “บรรเทาปัญหาอย่างเต็มที่แล้ว”

นอกเหนือจากการรักษาคุณลักษณะการตรวจสอบตัวสะกดที่ปรับปรุงแล้วของ Chrome และส่วนเสริมเบราว์เซอร์ Microsoft Editor Spelling & Grammar Checker ที่ไม่ถูกแตะต้องและปิดใช้งาน otto-js กล่าวว่ามีวิธีเพิ่มเติมที่บริษัทสามารถป้องกันปัญหาการสะกดคำโดยการเพิ่ม "spellcheck=false"

“บริษัทต่างๆ สามารถลดความเสี่ยงในการแบ่งปัน PII ของลูกค้า โดยการเพิ่ม 'spellcheck=false' ลงในช่องป้อนข้อมูลทั้งหมด แม้ว่าสิ่งนี้อาจสร้างปัญหาให้กับผู้ใช้ได้” otto-js กล่าว “อีกวิธีหนึ่ง คุณสามารถเพิ่มลงในฟิลด์แบบฟอร์มที่มีข้อมูลที่ละเอียดอ่อนได้ บริษัทยังสามารถลบความสามารถในการ 'แสดงรหัสผ่าน' ซึ่งจะไม่ป้องกันการสะกดผิด แต่จะป้องกันไม่ให้ส่งรหัสผ่านของผู้ใช้ บริษัทยังสามารถใช้ซอฟต์แวร์รักษาความปลอดภัยฝั่งไคลเอ็นต์ เช่น otto-js เพื่อตรวจสอบและควบคุมสคริปต์ของบุคคลที่สามได้”

บริษัทรักษาความปลอดภัยกล่าวว่าไม่ทราบว่าข้อมูลที่ส่งไปยัง Microsoft และ Google ถูกจัดเก็บหรือจัดการอย่างไร Microsoft ยังไม่ได้แสดงความคิดเห็นใดๆ เกี่ยวกับเรื่องนี้ แต่โฆษกของ Google บอกกับ BleepingComputer ว่า "Google ไม่ได้แนบข้อมูลนี้กับข้อมูลระบุตัวตนของผู้ใช้ใดๆ และจะประมวลผลบนเซิร์ฟเวอร์ชั่วคราวเท่านั้น"

ข้อมูลเพิ่มเติมเกี่ยวกับหัวข้อต่างๆ: ปรับปรุงการตรวจตัวสะกด, Google Chrome, Microsoft Edge, ความปลอดภัย

ชารอน เบนเน็ต

ชารอน เบนเน็ต โล่

ผู้สื่อข่าว

Sharron เป็นนักข่าวเทคโนโลยีที่ mspoweruser.com เธอครอบคลุมข่าวเทคโนโลยีส่วนใหญ่จากแบรนด์ต่างๆ เช่น Sony, Samsung, Google และอื่นๆ