Ορθογραφικός έλεγχος στο Google Chrome, τα προγράμματα περιήγησης Microsoft Edge διαρρέουν κωδικούς πρόσβασης

Λειτουργίες ορθογραφικού ελέγχου υπάρχουν και στα δύο Google Chrome και τα προγράμματα περιήγησης Microsoft Edge διαρρέουν ευαίσθητες πληροφορίες χρήστη - συμπεριλαμβανομένων ονόματος χρήστη, email και κωδικών πρόσβασης - στην Google και τη Microsoft, αντίστοιχα, όταν οι χρήστες συμπληρώνουν φόρμες σε δημοφιλείς ιστότοπους και εταιρικές εφαρμογές που βασίζονται σε cloud.

Το ζήτημα - που ονομάστηκε "spell-jacking" από ερευνητές της εταιρείας ασφαλείας Otto JavaScript Security (Otto-js) - μπορεί να εκθέσει προσωπικά αναγνωρίσιμες πληροφορίες (PII) από ορισμένες από τις πιο ευρέως χρησιμοποιούμενες εταιρικές εφαρμογές, συμπεριλαμβανομένων των Alibaba, Amazon Web Services , Google Cloud, LastPass και Office 365, σύμφωνα με ένα blog post δημοσιεύθηκε 16 Σεπτεμβρίου.

Ο συνιδρυτής της Otto-js και CTO Josh Summit ανακάλυψε τη διαρροή — η οποία συμβαίνει ειδικά όταν ο Ενισχυμένος ορθογραφικός έλεγχος του Chrome και ο Επεξεργαστής MS του Edge είναι ενεργοποιημένοι σε προγράμματα περιήγησης —
κατά τη διεξαγωγή έρευνας για πώς τα προγράμματα περιήγησης διαρρέουν δεδομένα σε γενικές γραμμές.

Το Summit διαπίστωσε ότι αυτές οι λειτουργίες ορθογραφικού ελέγχου αποστέλλουν δεδομένα στην Google και τη Microsoft που εισάγονται στα πεδία φόρμας — όπως όνομα χρήστη, email, ημερομηνία γέννησης και αριθμός κοινωνικής ασφάλισης — όταν κάποιος συμπληρώνει αυτές τις φόρμες σε ιστότοπους ή υπηρεσίες Ιστού ενώ χρησιμοποιεί τα προγράμματα περιήγησης , είπαν οι ερευνητές.

Το Chrome και το Edge θα διαρρεύσουν επίσης τους κωδικούς πρόσβασης χρήστη εάν γίνει κλικ στη λειτουργία "εμφάνιση κωδικού πρόσβασης" όταν κάποιος εισάγει έναν κωδικό πρόσβασης σε έναν ιστότοπο ή μια υπηρεσία, αποστέλλοντας αυτά τα δεδομένα σε διακομιστές τρίτου μέρους της Google και της Microsoft, είπαν.

Πού βρίσκεται ο κίνδυνος απορρήτου

Οι ερευνητές της Otto-js, που δημοσίευσαν ένα βίντεο στο YouTube δείχνοντας πώς συμβαίνει η διαρροή, δοκίμασε περισσότερους από 50 ιστότοπους που χρησιμοποιούν οι άνθρωποι καθημερινά ή εβδομαδιαία και έχουν πρόσβαση σε PII. Έσπασαν 30 από αυτούς σε μια ομάδα ελέγχου που κάλυπτε έξι κατηγορίες - διαδικτυακή τραπεζική, εργαλεία γραφείου cloud, υγειονομική περίθαλψη, κυβέρνηση, μέσα κοινωνικής δικτύωσης και ηλεκτρονικό εμπόριο - και επέλεξαν ιστότοπους για κάθε κατηγορία με βάση την κορυφαία κατάταξη σε κάθε κλάδο.

Από τους 30 ιστότοπους της ομάδας ελέγχου που δοκιμάστηκαν, το 96.7% έστειλε δεδομένα με PII πίσω στην Google και τη Microsoft, ενώ το 73% έστειλε κωδικούς πρόσβασης όταν έγινε κλικ στο "show password". Επιπλέον, αυτοί που δεν έστειλαν κωδικούς πρόσβασης δεν είχαν ουσιαστικά μετριάσει το πρόβλημα. απλώς τους έλειπε η δυνατότητα "εμφάνιση κωδικού πρόσβασης", είπαν οι ερευνητές.

Από τους ιστότοπους που ερεύνησαν οι ερευνητές, η Google είναι η μόνη που είχε ήδη διορθώσει το πρόβλημα για το ηλεκτρονικό ταχυδρομείο και ορισμένες υπηρεσίες. Ωστόσο, η Otto-js διαπίστωσε ότι η υπηρεσία Web της εταιρείας Google Cloud Secret Manager παραμένει ευάλωτη.

Εν τω μεταξύ, η Auth0, μια δημοφιλής υπηρεσία ενιαίας σύνδεσης, δεν ήταν στην ομάδα ελέγχου που είχαν ερευνήσει οι ερευνητές, αλλά ήταν ο μόνος ιστότοπος εκτός από την Google που είχε μετριάσει σωστά το πρόβλημα, είπαν.

Η δυνατότητα Ενισχυμένου ορθογραφικού ελέγχου της Google, η οποία απαιτεί συμμετοχή από τον χρήστη, χειρίζεται τα δεδομένα με ανώνυμο τρόπο, σύμφωνα με εκπρόσωπο της Google.

«Το κείμενο που πληκτρολογεί ο χρήστης μπορεί να είναι ευαίσθητες προσωπικές πληροφορίες και η Google δεν το επισυνάπτει σε καμία ταυτότητα χρήστη και το επεξεργάζεται μόνο προσωρινά στον διακομιστή», λέει στο Dark Reading. «Για να διασφαλίσουμε περαιτέρω το απόρρητο των χρηστών, θα εργαστούμε για να εξαιρέσουμε τους κωδικούς πρόσβασης προληπτικά από τον ορθογραφικό έλεγχο. Εκτιμούμε τη συνεργασία με την κοινότητα ασφαλείας και πάντα αναζητούμε τρόπους για την καλύτερη προστασία του απορρήτου των χρηστών και των ευαίσθητων πληροφοριών."

Οι χρήστες ορισμένων εταιρικών εφαρμογών που βασίζονται σε cloud κινδυνεύουν επίσης όταν εισάγουν φόρμες ενώ χρησιμοποιούν τις εφαρμογές στο Chrome και στο Edge, εάν είναι ενεργοποιημένες οι λειτουργίες ορθογραφικού ελέγχου. Από αυτές τις προαναφερθείσες υπηρεσίες, ομάδες ασφαλείας από το Amazon Web Services (AWS) και το LastPass ανταποκρίθηκαν στο Otto-js και έχουν ήδη διορθώσει το πρόβλημα, είπαν οι ερευνητές.

Πού πηγαίνουν τα δεδομένα;

Ένα μεγάλο ερώτημα που προκύπτει είναι τι συμβαίνει με τα δεδομένα μόλις ληφθούν από την Google και τη Microsoft, κάτι που οι ερευνητές είπαν ότι δεν μπορούν να απαντήσουν με σαφήνεια.

Σε αυτό το σημείο, κανείς δεν γνωρίζει εάν τα δεδομένα αποθηκεύονται στον λήπτη ή, αν συμβαίνει αυτό, ποιος διαχειρίζεται την ασφάλειά του, σημείωσαν οι ερευνητές. Δεν είναι επίσης σαφές εάν η διαχείριση των δεδομένων γίνεται με το ίδιο επίπεδο ασφάλειας με τα γνωστά ευαίσθητα δεδομένα, όπως οι κωδικοί πρόσβασης, ή εάν χρησιμοποιούνται από ομάδες προϊόντων ως μεταδεδομένα για τη βελτίωση των μοντέλων, είπαν.

Είτε έτσι είτε αλλιώς, οι ερευνητές παρατήρησαν ότι το ζήτημα εγείρει για άλλη μια φορά την ανησυχία για εταιρείες τεχνολογίας όπως η Google και η Microsoft που έχουν τόσο μεγάλη πρόσβαση σε ευαίσθητες πληροφορίες σχετικά με πελάτες, υπαλλήλους και εταιρείες, ιδιαίτερα όταν πρόκειται για κωδικούς πρόσβασης.

«Οι κωδικοί πρόσβασης προορίζονται να είναι ένα μυστικό που μοιράζεσαι με το πάρτι που σκοπεύεις και με κανέναν άλλο», έγραψαν στην ανάρτηση. «Ένα κοινό μυστικό θα πρέπει να κατακερματίζεται και να μην είναι αναστρέψιμο, αλλά αυτό το χαρακτηριστικό παραβιάζει μια θεμελιώδη αρχή ασφάλειας της «ανάγκης γνώσης» και θα μπορούσε να θεωρηθεί ως παραβίαση της ιδιωτικής ζωής. "

Ζήτημα που παραβλέπεται εύκολα

Επιπλέον, η διαρροή δεδομένων μπορεί να είναι ευρέως διαδεδομένη για χρήστες ή επιχειρήσεις για διάφορους λόγους, σημείωσαν οι ερευνητές. Το ένα είναι ότι επειδή οι λειτουργίες του προγράμματος περιήγησης που εκθέτουν τα δεδομένα είναι πραγματικά χρήσιμες για τους χρήστες, είναι πιθανό να ενεργοποιηθούν και να εκθέσουν δεδομένα χωρίς να το γνωρίζει ο χρήστης.

"Αυτό που προκαλεί ανησυχία είναι πόσο εύκολο είναι να ενεργοποιηθούν αυτές οι δυνατότητες και ότι οι περισσότεροι χρήστες θα ενεργοποιήσουν αυτές τις δυνατότητες χωρίς να συνειδητοποιούν πραγματικά τι συμβαίνει στο παρασκήνιο", λέει ο Summit.

Η έκθεση στον κωδικό πρόσβασης εμφανίζεται επίσης ως μια «αθέλητη αλληλεπίδραση» μεταξύ του ορθογραφικού ελέγχου του προγράμματος περιήγησης και μιας λειτουργίας ιστότοπου, καθιστώντας το κάτι που θα μπορούσε εύκολα να πετάξει κάτω από το ραντάρ, σημειώνει ο Walter Hoehn, αντιπρόεδρος μηχανικής στην Otto-js.

«Οι βελτιωμένες δυνατότητες ορθογραφικού ελέγχου στο Chrome και το Edge προσφέρουν μια σημαντική αναβάθμιση σε σχέση με τις προεπιλεγμένες μεθόδους που βασίζονται σε λεξικό», λέει. "Ομοίως, οι ιστότοποι που παρέχουν την επιλογή εμφάνισης κωδικών πρόσβασης σε καθαρό κείμενο είναι πιο εύχρηστοι, ειδικά για άτομα με ειδικές ανάγκες."

Μονοπάτι Μετριασμού

Ακόμα κι αν ένας ιστότοπος ή μια υπηρεσία δεν έχει επιλύσει το πρόβλημα από την πλευρά του, οι επιχειρήσεις μπορούν να μετριάσουν τον κίνδυνο κοινής χρήσης PII των πελατών τους που έχουν καταχωριστεί σε φόρμες προσθέτοντας "spellcheck=false" σε όλα τα πεδία εισαγωγής, αν και αυτό θα μπορούσε να δημιουργήσει προβλήματα στους χρήστες, ερευνητές αναγνώρισε.

Εναλλακτικά, οι επιχειρήσεις μπορούν απλώς να προσθέσουν την εντολή μόνο για να σχηματίσουν πεδία με ευαίσθητα δεδομένα για να αφαιρέσουν τον κίνδυνο ή θα μπορούσαν να αφαιρέσουν τη δυνατότητα "εμφάνιση κωδικού πρόσβασης" στις φόρμες τους, είπαν. Αυτό δεν θα αποτρέψει το spell-jacking, αλλά θα αποτρέψει την αποστολή κωδικών πρόσβασης, είπαν οι ερευνητές.

Οι εταιρείες μπορούν επίσης να μειώσουν την εσωτερική έκθεση λογαριασμών που ανήκουν στην εταιρεία εφαρμόζοντας προφυλάξεις ασφαλείας τελικού σημείου που απενεργοποιούν τις βελτιωμένες λειτουργίες ορθογραφικού ελέγχου και περιορίζουν τους υπαλλήλους να εγκαθιστούν μη εγκεκριμένες επεκτάσεις προγράμματος περιήγησης, σύμφωνα με την Otto-JS.

Οι καταναλωτές μπορούν να μετριάσουν τον κίνδυνο αποστολής των δεδομένων τους στη Microsoft και την Google χωρίς να το γνωρίζουν, πηγαίνοντας στα προγράμματα περιήγησής τους και απενεργοποιώντας τους αντίστοιχους ενόχους ορθογραφικού ελέγχου, πρόσθεσαν οι ερευνητές.