ویژگی های غلط گیر املا در هر دو موجود است گوگل کروم و مرورگرهای مایکروسافت اج اطلاعات حساس کاربر - از جمله نام کاربری، ایمیل و رمز عبور - را به ترتیب در اختیار گوگل و مایکروسافت قرار میدهند، زمانی که افراد فرمهایی را در وبسایتهای محبوب و برنامههای سازمانی مبتنی بر ابر پر میکنند.
این مشکل - که توسط محققان شرکت امنیتی Otto JavaScript Security (Otto-js) "جک طلسم" نامیده می شود - می تواند اطلاعات شناسایی شخصی (PII) برخی از پرکاربردترین برنامه های کاربردی سازمانی از جمله Alibaba، خدمات وب آمازون را در معرض نمایش قرار دهد. ، Google Cloud، LastPass و Office 365، با توجه به یک پست وبلاگ 16 سپتامبر منتشر شد.
یکی از بنیانگذاران Otto-js و جاش سامیت CTO این نشت را کشف کرد - که به طور خاص زمانی رخ می دهد که چک املای پیشرفته کروم و ویرایشگر MS Edge در مرورگرها فعال می شوند.
در حین انجام تحقیقات در مورد چگونه مرورگرها اطلاعات را درز می کنند به طور کلی.
Summit دریافت که این ویژگیهای غلطگیری املا دادههایی را به Google و Microsoft ارسال میکند که در فیلدهای فرم - مانند نام کاربری، ایمیل، تاریخ تولد و شماره امنیت اجتماعی - وارد میشوند، زمانی که شخصی این فرمها را در وبسایتها یا سرویسهای وب در حین استفاده از مرورگرها پر میکند. ، محققان گفتند.
کروم و اج همچنین اگر زمانی که شخصی رمز عبور را در سایت یا سرویسی وارد میکند، روی ویژگی «نمایش رمز عبور» کلیک شود و آن دادهها را به گوگل و سرورهای شخص ثالث مایکروسافت ارسال میکند، گذرواژههای کاربر را فاش میکنند.
جایی که خطر حفظ حریم خصوصی نهفته است
محققان Otto-js که پست کردند یک ویدیو در یوتیوب با نشان دادن چگونگی نشت، بیش از 50 وب سایت را که مردم روزانه یا هفتگی استفاده می کنند و به PII دسترسی دارند، آزمایش کردند. آنها 30 نفر از آن ها را به یک گروه کنترل شامل شش دسته تقسیم کردند - بانکداری آنلاین، ابزارهای اداری ابری، مراقبت های بهداشتی، دولت، رسانه های اجتماعی و تجارت الکترونیک - و وب سایت هایی را برای هر دسته بر اساس رتبه برتر در هر صنعت انتخاب کردند.
از 30 وب سایت گروه کنترل آزمایش شده، 96.7٪ داده ها را با PII به Google و Microsoft ارسال کردند، در حالی که 73٪ پسوردها را با کلیک روی "show password" ارسال کردند. علاوه بر این، آنهایی که رمز عبور ارسال نکردند، در واقع مشکل را کاهش نداده بودند. محققان گفتند که آنها فقط فاقد ویژگی "نمایش رمز عبور" بودند.
از بین وب سایت هایی که محققان بررسی کردند، گوگل تنها وب سایتی است که قبلاً این مشکل را برای ایمیل و برخی خدمات برطرف کرده است. Otto-js دریافت که سرویس وب این شرکت Google Cloud Secret Manager همچنان آسیب پذیر است.
در همین حال، Auth0، یک سرویس پرطرفدار ورود به سیستم، در گروه کنترلی که محققان بررسی کرده بودند قرار نداشت، اما تنها وب سایتی غیر از گوگل بود که به درستی این مشکل را کاهش داده بود.
به گفته سخنگوی گوگل، ویژگی پیشرفته بررسی املای گوگل، که به انتخاب کاربر نیاز دارد، داده ها را به صورت ناشناس مدیریت می کند.
او به Dark Reading میگوید: «متنی که کاربر تایپ میکند ممکن است اطلاعات شخصی حساس باشد و Google آن را به هویت کاربری متصل نمیکند و فقط آن را به طور موقت در سرور پردازش میکند. "برای اطمینان بیشتر از حریم خصوصی کاربر، ما تلاش خواهیم کرد تا رمزهای عبور را به طور فعال از بررسی املا حذف کنیم. ما از همکاری با جامعه امنیتی قدردانی می کنیم و همیشه به دنبال راه هایی برای محافظت بهتر از حریم خصوصی کاربران و اطلاعات حساس هستیم.
کاربران تعدادی از برنامه های کاربردی مبتنی بر ابر شرکتی نیز در صورت فعال بودن ویژگی های غلط گیر املا، هنگام وارد کردن فرم ها در هنگام استفاده از برنامه ها در Chrome و Edge در معرض خطر هستند. به گفته محققان، از میان سرویسهای فوق، تیمهای امنیتی Amazon Web Services (AWS) و LastPass به Otto-js پاسخ دادند و قبلاً این مشکل را برطرف کردهاند.
داده ها کجا می روند؟
یک سوال بزرگ که مطرح می شود این است که پس از دریافت داده ها توسط گوگل و مایکروسافت چه اتفاقی برای داده ها می افتد، که محققان گفتند نمی توانند به وضوح به آن پاسخ دهند.
محققان خاطرنشان کردند که در این مرحله، هیچ کس نمی داند که آیا داده ها در گیرنده ذخیره می شوند یا اگر چنین است، چه کسی امنیت آن را مدیریت می کند. همچنین مشخص نیست که آیا داده ها با همان سطح امنیت داده های حساس شناخته شده مانند رمزهای عبور مدیریت می شوند یا اینکه توسط تیم های محصول به عنوان ابرداده برای اصلاح مدل ها استفاده می شود.
در هر صورت، محققان مشاهده کردند که این موضوع بار دیگر این نگرانی را در مورد دسترسی شرکتهای فناوری مانند گوگل و مایکروسافت به اطلاعات حساس در مورد مشتریان، کارمندان و شرکتها، بهویژه زمانی که صحبت از گذرواژهها میشود، افزایش میدهد.
آنها در این پست نوشتند: «گذرواژهها قرار است رازی باشند که شما با طرف مورد نظر خود به اشتراک میگذارید و نه شخص دیگری. یک راز مشترک باید هش شده و غیرقابل برگشت باشد، اما این ویژگی یک اصل امنیتی اساسی یعنی «نیاز به دانستن» را نقض میکند و میتواند در نظر گرفته شود. نقض حریم خصوصی"
مسئله ای که به راحتی نادیده گرفته می شود
علاوه بر این، محققان خاطرنشان کردند که نشت داده ها می تواند به دلایلی برای کاربران یا شرکت ها گسترده باشد. یکی این است که چون ویژگی های مرورگر که داده ها را در معرض نمایش قرار می دهند در واقع برای کاربران مفید هستند، احتمالاً بدون اطلاع کاربر روشن می شوند و داده ها را در معرض نمایش قرار می دهند.
سامیت میگوید: «چیزی که نگرانکننده است این است که فعال کردن این ویژگیها چقدر آسان است و اکثر کاربران بدون اینکه متوجه شوند در پسزمینه چه اتفاقی میافتد، این ویژگیها را فعال میکنند.
والتر هوهن، معاون مهندسی Otto-js خاطرنشان می کند که قرار گرفتن در معرض رمز عبور همچنین به عنوان یک "تعامل ناخواسته" بین بررسی املای مرورگر و یک ویژگی وب سایت رخ می دهد و آن را به چیزی تبدیل می کند که به راحتی می تواند زیر رادار پرواز کند.
او میگوید: «ویژگیهای پیشرفتهی غلطگیری املا در Chrome و Edge ارتقای قابلتوجهی را نسبت به روشهای پیشفرض مبتنی بر فرهنگ لغت ارائه میدهد. به همین ترتیب، وبسایتهایی که امکان نمایش گذرواژهها را به صورت متن شفاف فراهم میکنند، بهویژه برای افراد دارای معلولیت قابل استفادهتر هستند.»
مسیر کاهش
حتی اگر وبسایت یا سرویسی این مشکل را از طرف خود برطرف نکرده باشد، شرکتها میتوانند خطر اشتراکگذاری PII مشتریان خود را که وارد فرمها شدهاند با افزودن «spellcheck=false» به تمام فیلدهای ورودی کاهش دهند، اگرچه این میتواند مشکلاتی را برای کاربران ایجاد کند. تصدیق کرد.
از طرف دیگر، شرکتها میتوانند فقط فرمان را برای تشکیل فیلدهایی با دادههای حساس اضافه کنند تا خطر را حذف کنند، یا میتوانند ویژگی «نمایش رمز عبور» را در فرمهای خود حذف کنند. به گفته محققان، این مانع از طلسم نمی شود، اما از ارسال رمز عبور جلوگیری می کند.
طبق گفته Otto-JS، شرکتها همچنین میتوانند با اجرای اقدامات احتیاطی امنیتی نقطه پایانی که ویژگیهای بهبود یافته بررسی املا را غیرفعال میکند و کارمندان را از نصب افزونههای مرورگر تایید نشده محدود میکند، از مواجهه داخلی حسابهای متعلق به شرکت بکاهند.
محققان افزودند، مصرفکنندگان میتوانند با مراجعه به مرورگرهای خود و غیرفعال کردن مجرمان مربوط به بررسی املا، خطر ارسال دادههای خود به مایکروسافت و گوگل را بدون اطلاع آنها کاهش دهند.