Cảnh báo: Không kích hoạt Edge, các tính năng kiểm tra chính tả nâng cao của Chrome

Biểu tượng thời gian đọc 4 phút đọc

Biểu tượng lịch Được đăng trên Ngày 19 tháng 2022 năm XNUMX

Được xuất bản trên Ngày 19 tháng 2022 năm XNUMX

Bạn đọc giúp đỡ ủng hộ MSpoweruser. Chúng tôi có thể nhận được hoa hồng nếu bạn mua thông qua các liên kết của chúng tôi.

Nếu bạn đang sử dụng các tính năng kiểm tra chính tả nâng cao của Cạnh và cơ rôm, đã đến lúc loại bỏ chúng vì một báo cáo mới cho thấy khả năng thực sự có thể gửi dữ liệu biểu mẫu của bạn đến những gã khổng lồ công nghệ sở hữu các trình duyệt nói trên. (thông qua Máy tính ngủ đêm)

Theo Công ty bảo mật JavaScript tên là otto-js, điều này xảy ra khi tính năng Kiểm tra chính tả nâng cao của Chrome (chrome: // settings /? search = Enhanced + Spell + Check) và Tiện ích bổ sung của trình duyệt Microsoft Editor Spelling & Grammar Checker được kích hoạt thủ công bởi người dùng. Tuy nhiên, hãy lưu ý rằng cả hai trình duyệt đều được bật tính năng kiểm tra chính tả cơ bản của riêng chúng theo mặc định, nhưng chúng không gây ra rủi ro bảo mật vì chúng không hoạt động theo cách mà các tính năng nâng cao thực hiện.

Khi được kích hoạt, các tính năng có thể gửi dữ liệu tới Microsoft và Google. Thông tin sẽ được truyền phụ thuộc vào biểu mẫu bạn đang điền trên các trang web cụ thể, có nghĩa là bạn càng chia sẻ nhiều thông tin và điền vào các trường biểu mẫu, thì càng có nhiều dữ liệu được gửi đến các công ty khi các tính năng kiểm tra chính tả nâng cao được kích hoạt. Ví dụ: một trang web bạn đang truy cập có thể yêu cầu bạn cung cấp thông tin nhận dạng cá nhân (PII) của bạn, chẳng hạn như tên đầy đủ, địa chỉ nhà riêng, địa chỉ email, Số an sinh xã hội, số hộ chiếu, số bằng lái xe, số thẻ tín dụng, ngày của sinh, và hơn thế nữa. Tệ hơn nữa, mật khẩu của bạn cũng có thể được truyền tới Microsoft và Google, theo Nhóm nghiên cứu otto-js, gọi quá trình này là "Spell-jacking" "vi phạm nguyên tắc bảo mật cơ bản là" cần biết "và có thể được coi là vi phạm quyền riêng tư."

“Nếu 'hiển thị mật khẩu' được bật, tính năng này thậm chí còn gửi mật khẩu của bạn đến máy chủ bên thứ 3 của họ", Josh Summitt, Đồng sáng lập và CTO của otto JavaScript Security, chia sẻ phát hiện này trong khi kiểm tra phát hiện hành vi tập lệnh của công ty. “Trong khi nghiên cứu về rò rỉ dữ liệu trong các trình duyệt khác nhau, chúng tôi đã phát hiện thấy một tổ hợp các tính năng, khi được bật, sẽ tiết lộ dữ liệu nhạy cảm một cách không cần thiết cho các Bên thứ 3 như Google và Microsoft. Điều đáng quan tâm là việc kích hoạt các tính năng này dễ dàng như thế nào và hầu hết người dùng sẽ kích hoạt các tính năng này mà không thực sự nhận ra điều gì đang xảy ra trong nền ”.

rò rỉ lỗi đánh vần trên Alibaba Cloud demo — Thông tin đăng nhập tài khoản Alibaba Cloud đang được gửi tới Google

Lỗi chính tả có thể xảy ra trên tất cả các trang web miễn là bạn đang sử dụng Edge và Chrome và bạn có các tính năng kiểm tra chính tả nâng cao của chúng hoạt động. Để chứng minh điều đó, otto-js đã chia sẻ điều đó xảy ra như thế nào khi họ đăng nhập vào Tài khoản đám mây Alibaba của công ty bằng thông tin đăng nhập của nhân viên (cụ thể là mật khẩu), sau đó được gửi đến Google. Hơn nữa, otto-js đã chia sẻ một đoạn video trình diễn cách đánh vần làm lộ cơ sở hạ tầng đám mây của một công ty, bao gồm máy chủ, cơ sở dữ liệu, tài khoản email công ty và trình quản lý mật khẩu.

“Video sử dụng một tình huống phổ biến ở nơi làm việc để minh họa việc kích hoạt các tính năng kiểm tra chính tả nâng cao của trình duyệt dễ dàng như thế nào và cách một nhân viên có thể vạch trần công ty mà không hề hay biết,” otto-js cho biết thêm. “Hầu hết các CISO sẽ vô cùng lo lắng khi biết rằng thông tin xác thực quản trị của công ty họ đã vô tình bị chia sẻ bằng văn bản rõ ràng với bên thứ ba, thậm chí là bên thứ ba mà họ thường tin tưởng.”

Công ty bảo mật JavaScript nhấn mạnh thêm tên của các công ty và dịch vụ có thể bị ảnh hưởng bởi vấn đề này. Nó bao gồm Alibaba - Dịch vụ đám mây, Office 365 và Google Cloud - Trình quản lý bí mật. AWS - Secrets Manager và LastPass ban đầu được đưa vào danh sách, nhưng otto-js nói rằng cả hai đều đã “giảm thiểu hoàn toàn vấn đề”.

Ngoài việc giữ nguyên tính năng kiểm tra chính tả Nâng cao của Chrome và trình duyệt Microsoft Editor Spelling & Grammar Checker của Edge không bị tác động và vô hiệu hóa, otto-js cho biết có những cách bổ sung mà các công ty có thể ngăn chặn vấn đề đánh vần chính tả thông qua việc bổ sung “spellcheck = false”.

“Các công ty có thể giảm thiểu rủi ro chia sẻ PII của khách hàng - bằng cách thêm 'spellcheck = false' vào tất cả các trường đầu vào, mặc dù điều này có thể gây ra vấn đề cho người dùng," otto-js đề xuất. “Ngoài ra, bạn có thể thêm nó vào chỉ các trường biểu mẫu có dữ liệu nhạy cảm. Các công ty cũng có thể loại bỏ khả năng 'hiển thị mật khẩu.' Điều đó sẽ không ngăn chặn việc đánh lừa chính tả, nhưng nó sẽ ngăn việc gửi mật khẩu của người dùng. Các công ty cũng có thể sử dụng phần mềm bảo mật phía máy khách như otto-js để theo dõi và kiểm soát các tập lệnh của bên thứ ba ”.

Hãng bảo mật cho biết vẫn chưa biết liệu dữ liệu được truyền tới Microsoft và Google có đang được lưu trữ hay chúng được quản lý như thế nào. Microsoft vẫn chưa đưa ra bất kỳ bình luận nào về nó, nhưng một người phát ngôn của Google nói với BleepingComputer rằng “Google không đính kèm nó với bất kỳ danh tính người dùng nào và chỉ xử lý nó trên máy chủ tạm thời.”

Thông tin thêm về các chủ đề: kiểm tra chính tả nâng cao, Google Chrome, Microsoft cạnh, an ninh

Sharon Bennet

phóng viên

Sharron là phóng viên công nghệ tại mspoweruser.com. Cô ấy đưa tin về hầu hết các tin tức công nghệ từ các thương hiệu như Sony, Samsung, Google, v.v.