املا در گوگل کروم، مرورگرهای مایکروسافت اج گذرواژه‌های هوش داده پلاتوبلاک چین را فاش می‌کنند. جستجوی عمودی Ai.

املا در گوگل کروم، مرورگرهای مایکروسافت اج رمزهای عبور را فاش می کنند

تمبر زمان: 20 سپتامبر 2022، 1:37 بعد از ظهر

ویژگی های غلط گیر املا در هر دو موجود است گوگل کروم و مرورگرهای مایکروسافت اج اطلاعات حساس کاربر - از جمله نام کاربری، ایمیل و رمز عبور - را به ترتیب در اختیار گوگل و مایکروسافت قرار می‌دهند، زمانی که افراد فرم‌هایی را در وب‌سایت‌های محبوب و برنامه‌های سازمانی مبتنی بر ابر پر می‌کنند.

این مشکل - که توسط محققان شرکت امنیتی Otto JavaScript Security (Otto-js) "جک طلسم" نامیده می شود - می تواند اطلاعات شناسایی شخصی (PII) برخی از پرکاربردترین برنامه های کاربردی سازمانی از جمله Alibaba، خدمات وب آمازون را در معرض نمایش قرار دهد. ، Google Cloud، LastPass و Office 365، با توجه به یک پست وبلاگ 16 سپتامبر منتشر شد.

یکی از بنیانگذاران Otto-js و جاش سامیت CTO این نشت را کشف کرد - که به طور خاص زمانی رخ می دهد که چک املای پیشرفته کروم و ویرایشگر MS Edge در مرورگرها فعال می شوند.
در حین انجام تحقیقات در مورد چگونه مرورگرها اطلاعات را درز می کنند به طور کلی.

Summit دریافت که این ویژگی‌های غلط‌گیری املا داده‌هایی را به Google و Microsoft ارسال می‌کند که در فیلدهای فرم - مانند نام کاربری، ایمیل، تاریخ تولد و شماره امنیت اجتماعی - وارد می‌شوند، زمانی که شخصی این فرم‌ها را در وب‌سایت‌ها یا سرویس‌های وب در حین استفاده از مرورگرها پر می‌کند. ، محققان گفتند.

کروم و اج همچنین اگر زمانی که شخصی رمز عبور را در سایت یا سرویسی وارد می‌کند، روی ویژگی «نمایش رمز عبور» کلیک شود و آن داده‌ها را به گوگل و سرورهای شخص ثالث مایکروسافت ارسال می‌کند، گذرواژه‌های کاربر را فاش می‌کنند.

جایی که خطر حفظ حریم خصوصی نهفته است

محققان Otto-js که پست کردند یک ویدیو در یوتیوب با نشان دادن چگونگی نشت، بیش از 50 وب سایت را که مردم روزانه یا هفتگی استفاده می کنند و به PII دسترسی دارند، آزمایش کردند. آنها 30 نفر از آن ها را به یک گروه کنترل شامل شش دسته تقسیم کردند - بانکداری آنلاین، ابزارهای اداری ابری، مراقبت های بهداشتی، دولت، رسانه های اجتماعی و تجارت الکترونیک - و وب سایت هایی را برای هر دسته بر اساس رتبه برتر در هر صنعت انتخاب کردند.

از 30 وب سایت گروه کنترل آزمایش شده، 96.7٪ داده ها را با PII به Google و Microsoft ارسال کردند، در حالی که 73٪ پسوردها را با کلیک روی "show password" ارسال کردند. علاوه بر این، آنهایی که رمز عبور ارسال نکردند، در واقع مشکل را کاهش نداده بودند. محققان گفتند که آنها فقط فاقد ویژگی "نمایش رمز عبور" بودند.

از بین وب سایت هایی که محققان بررسی کردند، گوگل تنها وب سایتی است که قبلاً این مشکل را برای ایمیل و برخی خدمات برطرف کرده است. Otto-js دریافت که سرویس وب این شرکت Google Cloud Secret Manager همچنان آسیب پذیر است.

در همین حال، Auth0، یک سرویس پرطرفدار ورود به سیستم، در گروه کنترلی که محققان بررسی کرده بودند قرار نداشت، اما تنها وب سایتی غیر از گوگل بود که به درستی این مشکل را کاهش داده بود.

به گفته سخنگوی گوگل، ویژگی پیشرفته بررسی املای گوگل، که به انتخاب کاربر نیاز دارد، داده ها را به صورت ناشناس مدیریت می کند.

او به Dark Reading می‌گوید: «متنی که کاربر تایپ می‌کند ممکن است اطلاعات شخصی حساس باشد و Google آن را به هویت کاربری متصل نمی‌کند و فقط آن را به طور موقت در سرور پردازش می‌کند. "برای اطمینان بیشتر از حریم خصوصی کاربر، ما تلاش خواهیم کرد تا رمزهای عبور را به طور فعال از بررسی املا حذف کنیم. ما از همکاری با جامعه امنیتی قدردانی می کنیم و همیشه به دنبال راه هایی برای محافظت بهتر از حریم خصوصی کاربران و اطلاعات حساس هستیم.

کاربران تعدادی از برنامه های کاربردی مبتنی بر ابر شرکتی نیز در صورت فعال بودن ویژگی های غلط گیر املا، هنگام وارد کردن فرم ها در هنگام استفاده از برنامه ها در Chrome و Edge در معرض خطر هستند. به گفته محققان، از میان سرویس‌های فوق، تیم‌های امنیتی Amazon Web Services (AWS) و LastPass به Otto-js پاسخ دادند و قبلاً این مشکل را برطرف کرده‌اند.

داده ها کجا می روند؟

یک سوال بزرگ که مطرح می شود این است که پس از دریافت داده ها توسط گوگل و مایکروسافت چه اتفاقی برای داده ها می افتد، که محققان گفتند نمی توانند به وضوح به آن پاسخ دهند.

محققان خاطرنشان کردند که در این مرحله، هیچ کس نمی داند که آیا داده ها در گیرنده ذخیره می شوند یا اگر چنین است، چه کسی امنیت آن را مدیریت می کند. همچنین مشخص نیست که آیا داده ها با همان سطح امنیت داده های حساس شناخته شده مانند رمزهای عبور مدیریت می شوند یا اینکه توسط تیم های محصول به عنوان ابرداده برای اصلاح مدل ها استفاده می شود.

در هر صورت، محققان مشاهده کردند که این موضوع بار دیگر این نگرانی را در مورد دسترسی شرکت‌های فناوری مانند گوگل و مایکروسافت به اطلاعات حساس در مورد مشتریان، کارمندان و شرکت‌ها، به‌ویژه زمانی که صحبت از گذرواژه‌ها می‌شود، افزایش می‌دهد.

آنها در این پست نوشتند: «گذرواژه‌ها قرار است رازی باشند که شما با طرف مورد نظر خود به اشتراک می‌گذارید و نه شخص دیگری. یک راز مشترک باید هش شده و غیرقابل برگشت باشد، اما این ویژگی یک اصل امنیتی اساسی یعنی «نیاز به دانستن» را نقض می‌کند و می‌تواند در نظر گرفته شود. نقض حریم خصوصی"

مسئله ای که به راحتی نادیده گرفته می شود

علاوه بر این، محققان خاطرنشان کردند که نشت داده ها می تواند به دلایلی برای کاربران یا شرکت ها گسترده باشد. یکی این است که چون ویژگی های مرورگر که داده ها را در معرض نمایش قرار می دهند در واقع برای کاربران مفید هستند، احتمالاً بدون اطلاع کاربر روشن می شوند و داده ها را در معرض نمایش قرار می دهند.

سامیت می‌گوید: «چیزی که نگران‌کننده است این است که فعال کردن این ویژگی‌ها چقدر آسان است و اکثر کاربران بدون اینکه متوجه شوند در پس‌زمینه چه اتفاقی می‌افتد، این ویژگی‌ها را فعال می‌کنند.

والتر هوهن، معاون مهندسی Otto-js خاطرنشان می کند که قرار گرفتن در معرض رمز عبور همچنین به عنوان یک "تعامل ناخواسته" بین بررسی املای مرورگر و یک ویژگی وب سایت رخ می دهد و آن را به چیزی تبدیل می کند که به راحتی می تواند زیر رادار پرواز کند.

او می‌گوید: «ویژگی‌های پیشرفته‌ی غلط‌گیری املا در Chrome و Edge ارتقای قابل‌توجهی را نسبت به روش‌های پیش‌فرض مبتنی بر فرهنگ لغت ارائه می‌دهد. به همین ترتیب، وب‌سایت‌هایی که امکان نمایش گذرواژه‌ها را به صورت متن شفاف فراهم می‌کنند، به‌ویژه برای افراد دارای معلولیت قابل استفاده‌تر هستند.»

مسیر کاهش

حتی اگر وب‌سایت یا سرویسی این مشکل را از طرف خود برطرف نکرده باشد، شرکت‌ها می‌توانند خطر اشتراک‌گذاری PII مشتریان خود را که وارد فرم‌ها شده‌اند با افزودن «spellcheck=false» به تمام فیلدهای ورودی کاهش دهند، اگرچه این می‌تواند مشکلاتی را برای کاربران ایجاد کند. تصدیق کرد.

از طرف دیگر، شرکت‌ها می‌توانند فقط فرمان را برای تشکیل فیلدهایی با داده‌های حساس اضافه کنند تا خطر را حذف کنند، یا می‌توانند ویژگی «نمایش رمز عبور» را در فرم‌های خود حذف کنند. به گفته محققان، این مانع از طلسم نمی شود، اما از ارسال رمز عبور جلوگیری می کند.

طبق گفته Otto-JS، شرکت‌ها همچنین می‌توانند با اجرای اقدامات احتیاطی امنیتی نقطه پایانی که ویژگی‌های بهبود یافته بررسی املا را غیرفعال می‌کند و کارمندان را از نصب افزونه‌های مرورگر تایید نشده محدود می‌کند، از مواجهه داخلی حساب‌های متعلق به شرکت بکاهند.

محققان افزودند، مصرف‌کنندگان می‌توانند با مراجعه به مرورگرهای خود و غیرفعال کردن مجرمان مربوط به بررسی املا، خطر ارسال داده‌های خود به مایکروسافت و گوگل را بدون اطلاع آنها کاهش دهند.

تمبر زمان:

بیشتر از تاریک خواندن