Oikeinkirjoituksen tarkistusominaisuudet ovat molemmissa Google Chrome ja Microsoft Edge -selaimet vuotavat arkaluontoisia käyttäjätietoja – mukaan lukien käyttäjätunnus, sähköpostiosoite ja salasana – Googlelle ja Microsoftille, kun ihmiset täyttävät lomakkeita suosituilla verkkosivustoilla ja pilvipohjaisissa yrityssovelluksissa.
Ongelma, jota asiakaspuolen tietoturvayrityksen Otto JavaScript Securityn (Otto-js) tutkijat kutsuvat "spell-jackingiksi", voi paljastaa henkilökohtaisia tunnistetietoja (PII) joistakin yleisimmin käytetyistä yrityssovelluksista, kuten Alibaba, Amazon Web Services. , Google Cloud, LastPass ja Office 365 mukaan blogi julkaistu 16. syyskuuta.
Otto-js:n perustaja ja teknologiajohtaja Josh Summit havaitsivat vuodon – joka tapahtuu erityisesti, kun Chromen Enhanced Spellcheck ja Edgen MS Editor ovat käytössä selaimissa –
tehdessään tutkimusta aiheesta kuinka selaimet vuotavat tietoja yleensä.
Summit havaitsi, että nämä oikeinkirjoituksen tarkistusominaisuudet lähettävät Googlelle ja Microsoftille tietoja, jotka on syötetty lomakekenttiin – kuten käyttäjänimi, sähköpostiosoite, syntymäaika ja sosiaaliturvatunnus – kun joku täyttää nämä lomakkeet verkkosivustoilla tai verkkopalveluissa selaimia käyttäessään. , tutkijat sanoivat.
Chrome ja Edge myös vuotavat käyttäjien salasanoja, jos "näytä salasana" -ominaisuutta napsautetaan, kun joku syöttää salasanan sivustolle tai palveluun ja lähettää tiedot Googlelle ja Microsoftin kolmannen osapuolen palvelimille, he sanoivat.
Missä tietosuojariski piilee
Otto-js-tutkijat, jotka lähettivät video YouTubessa havainnollistaakseen, miten vuoto tapahtuu, testattiin yli 50 verkkosivustoa, joita ihmiset käyttävät päivittäin tai viikoittain ja joilla on pääsy henkilökohtaisiin tunnistetietoihin. He jakoivat 30 näistä vertailuryhmään, joka kattoi kuusi luokkaa – verkkopankkipalvelut, pilvitoimistotyökalut, terveydenhuolto, hallinto, sosiaalinen media ja sähköinen kaupankäynti – ja valitsivat verkkosivustot kullekin kategorialle kunkin alan parhaan sijoituksen perusteella.
Testatuista 30 vertailuryhmän verkkosivustosta 96.7 % lähetti henkilökohtaisia tunnistetietoja takaisin Googlelle ja Microsoftille, kun taas 73 % lähetti salasanoja, kun "näytä salasana" napsautettiin. Lisäksi ne, jotka eivät lähettäneet salasanoja, eivät olleet itse asiassa lieventäneet ongelmaa; heiltä puuttui vain "näytä salasana" -ominaisuus, tutkijat sanoivat.
Tutkijoiden tutkimista verkkosivustoista Google on ainoa, joka on jo korjannut sähköpostin ja joidenkin palvelujen ongelman. Otto-js havaitsi, että yrityksen verkkopalvelu Google Cloud Secret Manager on kuitenkin edelleen haavoittuvainen.
Samaan aikaan Auth0, suosittu kertakirjautumispalvelu, ei kuulunut tutkijoiden tutkimaan kontrolliryhmään, mutta se oli Googlen lisäksi ainoa verkkosivusto, joka oli vähentänyt ongelmaa oikein, he sanoivat.
Googlen tehostettu oikeinkirjoituksen tarkistusominaisuus, joka edellyttää käyttäjän suostumusta, käsittelee tiedot anonymisoidusti Googlen tiedottajan mukaan.
"Käyttäjän kirjoittama teksti voi olla arkaluontoista henkilökohtaista tietoa, eikä Google liitä sitä mihinkään käyttäjän identiteettiin ja käsittelee sen vain väliaikaisesti palvelimella", hän kertoo Dark Readingille. "Varmistaaksemme käyttäjien yksityisyyden edelleen pyrimme sulkemaan salasanat ennakoivasti pois oikeinkirjoituksen tarkistuksesta. Arvostamme yhteistyötä tietoturvayhteisön kanssa ja etsimme jatkuvasti tapoja suojata käyttäjien yksityisyyttä ja arkaluonteisia tietoja paremmin."
Useiden yritysten pilvipohjaisten sovellusten käyttäjät ovat myös vaarassa syötessään lomakkeita käyttäessään sovelluksia Chromessa ja Edgessä, jos oikeinkirjoituksen tarkistusominaisuudet ovat käytössä. Edellä mainituista palveluista Amazon Web Servicesin (AWS) ja LastPassin turvallisuustiimit vastasivat Otto-js:lle ja ovat jo korjanneet ongelman, tutkijat sanoivat.
Mihin data menee?
Yksi suuri kysymys, joka herää, on, mitä tapahtuu tiedoille, kun Google ja Microsoft ovat vastaanottaneet sen, johon tutkijat sanoivat, että he eivät voi vastata selkeästi.
Tässä vaiheessa kukaan ei tiedä, tallennetaanko dataa vastaanottopäähän tai, jos näin on, kuka sen turvallisuudesta huolehtii, tutkijat totesivat. Ei myöskään ole selvää, hallitaanko tietoja samalla suojaustasolla kuin tunnettuja arkaluontoisia tietoja, kuten salasanoja, vai käyttävätkö tuoteryhmät niitä metatietoina mallien tarkentamiseen, he sanoivat.
Joka tapauksessa tutkijat havaitsivat, että ongelma herättää jälleen huolen Googlen ja Microsoftin kaltaisilla teknologiayrityksillä, joilla on niin paljon pääsyä asiakkaita, työntekijöitä ja yrityksiä koskeviin arkaluonteisiin tietoihin, erityisesti salasanojen osalta.
"Salasanat on tarkoitettu salaisuudeksi, jonka jaat aiomillesi juhlille, etkä kenellekään muulle", he kirjoittivat viestissä. "Jaetun salaisuuden tulisi olla tiivistetty ja peruuttamaton, mutta tämä ominaisuus rikkoo tietoturvan perusperiaatetta, ja sitä voidaan pitää yksityisyyden loukkaus"
Helposti unohdettu ongelma
Lisäksi tietovuoto voi olla laajalle levinnyt käyttäjille tai yrityksille useista syistä, tutkijat totesivat. Yksi on se, että koska tiedot paljastavat selaimen ominaisuudet ovat todella hyödyllisiä käyttäjille, ne ovat todennäköisesti päällä ja paljastavat tietoja käyttäjän tietämättä.
"Huolestunutta on se, kuinka helppoa nämä ominaisuudet ovat käytössä ja että useimmat käyttäjät ottavat nämä ominaisuudet käyttöön ymmärtämättä, mitä taustalla tapahtuu", Summit sanoo.
Salasanan paljastaminen tapahtuu myös selaimen oikeinkirjoituksen tarkistuksen ja verkkosivuston ominaisuuden välisenä "tahaton vuorovaikutuksena", mikä tekee siitä jotain, joka voi helposti lentää tutkan alle, Otto-js:n suunnittelujohtaja Walter Hoehn toteaa.
"Chromen ja Edgen parannetut oikeinkirjoituksen tarkistusominaisuudet tarjoavat merkittävän päivityksen oletussanakirjapohjaisiin menetelmiin verrattuna", hän sanoo. "Samoin sivustot, jotka tarjoavat mahdollisuuden näyttää salasanat selkeänä tekstinä, ovat käyttökelpoisempia varsinkin vammaisille."
Lieventämisen polku
Vaikka verkkosivusto tai palvelu ei olisi korjannut ongelmaa omalta osaltaan, yritykset voivat pienentää riskiä asiakkaidensa lomakkeisiin syötettyjen henkilökohtaisten tunnistetietojen jakamisesta lisäämällä kaikkiin syöttökenttiin "spellcheck=false", vaikka tämä voi aiheuttaa ongelmia käyttäjille, tutkijoille. tunnustettu.
Vaihtoehtoisesti yritykset voivat lisätä komennon vain muodostaakseen arkaluonteisia tietoja sisältäviä kenttiä riskin poistamiseksi, tai ne voivat poistaa "näytä salasana" -ominaisuuden lomakkeistaan, he sanoivat. Tämä ei estä loitsujen kaappausta, mutta se estää salasanojen lähettämisen, tutkijat sanoivat.
Otto-JS:n mukaan yritykset voivat myös vähentää yrityksen omistamien tilien sisäistä altistumista ottamalla käyttöön päätepisteiden suojaustoimenpiteitä, jotka estävät parannetut oikeinkirjoituksen tarkistusominaisuudet ja estävät työntekijöitä asentamasta hyväksymättömiä selainlaajennuksia.
Tutkijat lisäsivät, että kuluttajat voivat pienentää omaa riskiään, että heidän tietonsa lähetetään Microsoftille ja Googlelle heidän tietämättään.
- blockchain
- cryptocurrency-lompakot
- cryptoexchange
- tietoverkkoturvallisuus
- verkkorikollisille
- tietoverkkojen
- Pimeää luettavaa
- sisäisen turvallisuuden osasto
- digitaaliset lompakot
- palomuuri
- Kaspersky
- haittaohjelmat
- McAfee
- NexBLOC
- Platon
- plato ai
- Platonin tietotieto
- Platon peli
- PlatonData
- platopeliä
- VPN
- verkkosivuilla turvallisuus
