Stavekontrolfunktioner til stede i både Google Chrome og Microsoft Edge-browsere lækker følsomme brugeroplysninger – inklusive brugernavn, e-mail og adgangskoder – til henholdsvis Google og Microsoft, når folk udfylder formularer på populære websteder og cloud-baserede virksomhedsapps.
Problemet - kaldet "spell-jacking" af forskere hos klientsidens sikkerhedsfirma Otto JavaScript Security (Otto-js) - kan afsløre personlig identificerbar information (PII) fra nogle af de mest udbredte virksomhedsapplikationer, herunder Alibaba, Amazon Web Services , Google Cloud, LastPass og Office 365 ifølge et blog-indlæg udgivet 16. sept.
Otto-js medstifter og CTO Josh Summit opdagede lækagen - som opstår specifikt, når Chromes Enhanced Spellcheck og Edge's MS Editor er aktiveret i browsere -
mens der forskes i hvordan browsere lækker data i almindelighed.
Summit fandt ud af, at disse stavekontrolfunktioner sender data til Google og Microsoft, som er indtastet i formularfelter - såsom brugernavn, e-mail, fødselsdato og CPR-nummer - når nogen udfylder disse formularer på websteder eller webtjenester, mens de bruger browserne , sagde forskerne.
Chrome og Edge vil også lække brugeradgangskoder, hvis der klikkes på "vis adgangskode"-funktionen, når nogen indtaster en adgangskode til et websted eller en tjeneste, og sender disse data til Google og Microsofts tredjepartsservere, sagde de.
Hvor privatlivsrisikoen ligger
Otto-js forskere, der postede en video på YouTube demonstrerer, hvordan lækagen opstår, testede mere end 50 websteder, som folk bruger dagligt eller ugentligt, og som har adgang til PII. De opdelte 30 af dem i en kontrolgruppe, der spændte over seks kategorier - onlinebank, cloud-kontorværktøjer, sundhedspleje, regering, sociale medier og e-handel - og udvalgte websteder for hver kategori baseret på topplaceringen i hver branche.
Af de 30 testede kontrolgruppewebsteder sendte 96.7 % data med PII tilbage til Google og Microsoft, mens 73 % sendte adgangskoder, når der blev klikket på "vis adgangskode". Desuden havde de, der ikke sendte adgangskoder, faktisk ikke afbødet problemet; de manglede bare funktionen "vis adgangskode", sagde forskerne.
Af de websteder, som forskerne undersøgte, er Google den eneste, der allerede havde løst problemet for e-mail og nogle tjenester. Otto-js fandt dog ud af, at virksomhedens webtjeneste Google Cloud Secret Manager fortsat er sårbar.
I mellemtiden var Auth0, en populær single sign-on-tjeneste, ikke i kontrolgruppen, som forskerne havde undersøgt, men var det eneste websted bortset fra Google, der korrekt havde afhjulpet problemet, sagde de.
Googles forbedrede stavekontrol-funktion, som kræver en opt-in fra brugeren, håndterer dataene på en anonymiseret måde, ifølge en Google-talsmand.
"Teksten skrevet af brugeren kan være følsomme personlige oplysninger, og Google knytter den ikke til nogen brugeridentitet og behandler den kun midlertidigt på serveren," siger han til Dark Reading. "For yderligere at sikre brugernes privatliv vil vi arbejde på at udelukke adgangskoder proaktivt fra stavekontrol. Vi sætter pris på samarbejdet med sikkerhedsfællesskabet, og vi leder altid efter måder, hvorpå vi bedre kan beskytte brugernes privatliv og følsomme oplysninger."
Brugere af en række cloud-baserede virksomheder er også i fare, når de indtaster formularer, mens de bruger apps på Chrome og Edge, hvis stavekontrolfunktionerne er aktiveret. Af de førnævnte tjenester reagerede sikkerhedsteams fra Amazon Web Services (AWS) og LastPass på Otto-js og har allerede afhjulpet problemet, sagde forskerne.
Hvor bliver dataene af?
Et stort spørgsmål, der opstår, er, hvad der sker med dataene, når de er modtaget af Google og Microsoft, som forskerne sagde, at de ikke klart kan svare på.
På nuværende tidspunkt er der ingen, der ved, om dataene bliver gemt i den modtagende ende eller, hvis dette er tilfældet, hvem der styrer deres sikkerhed, bemærkede forskerne. Det er heller ikke klart, om dataene administreres med samme sikkerhedsniveau som kendte følsomme data såsom adgangskoder, eller om de bliver brugt af produktteams som metadata til at forfine modeller, sagde de.
Uanset hvad, har forskere observeret, at spørgsmålet igen rejser bekymringen om teknologivirksomheder som Google og Microsoft, der har så meget adgang til følsomme oplysninger om kunder, medarbejdere og virksomheder, især når det kommer til adgangskoder.
"Adgangskoder er beregnet til at være en hemmelighed, du deler med den part, du havde til hensigt, og ingen andre," skrev de i opslaget. "En delt hemmelighed skal være hash og irreversibel, men denne funktion overtræder et grundlæggende sikkerhedsprincip om 'need-to-know' og kan betragtes som en krænkelse af privatlivets fred".
Let overset problem
Desuden kan datalækagen være udbredt for brugere eller virksomheder af en række årsager, bemærkede forskerne. Den ene er, at fordi browserfunktionerne, der afslører dataene, faktisk er nyttige for brugerne, vil de sandsynligvis blive tændt og eksponere data uden en brugers viden.
"Det bekymrende er, hvor nemme disse funktioner er at aktivere, og at de fleste brugere vil aktivere disse funktioner uden rigtig at være klar over, hvad der sker i baggrunden," siger Summit.
Adgangskodeeksponeringen forekommer også som en "utilsigtet interaktion" mellem browserens stavekontrol og en hjemmesidefunktion, hvilket gør det til noget, der nemt kan flyve under radaren, bemærker Walter Hoehn, vicepræsident for ingeniør hos Otto-js
"De forbedrede stavekontrolfunktioner i Chrome og Edge tilbyder en betydelig opgradering i forhold til standardordbogsbaserede metoder," siger han. "På samme måde er websteder, der giver mulighed for at vise adgangskoder i klartekst, mere anvendelige, især for dem med handicap."
Vejen til afbødning
Selvom et websted eller en tjeneste ikke har løst problemet fra sin side, kan virksomheder mindske risikoen for at dele deres kunders PII indtastet i formularer ved at tilføje "spellcheck=false" til alle inputfelter, selvom dette kan skabe problemer for brugerne, siger forskere anerkendt.
Alternativt kan virksomheder bare tilføje kommandoen til kun at danne felter med følsomme data for at fjerne risikoen, eller de kan fjerne "vis adgangskode"-funktionen i deres formularer, sagde de. Dette vil ikke forhindre spell-jacking, men det vil forhindre adgangskoder i at blive sendt, sagde forskerne.
Virksomheder kan også mindske intern eksponering af virksomhedsejede konti ved at implementere sikkerhedsforanstaltninger for slutpunkter, der deaktiverer forbedrede stavekontrolfunktioner og begrænser medarbejderne i at installere ikke-godkendte browserudvidelser, ifølge Otto-JS.
Forbrugere kan mindske deres egen risiko for at få deres data sendt til Microsoft og Google uden deres viden ved at gå ind i deres browsere og deaktivere de respektive stavekontrolsyndere, tilføjede forskerne.
