A helyesírás-ellenőrző funkciók mind a Google Chrome A Microsoft Edge és a Microsoft Edge böngészők érzékeny felhasználói információkat – köztük felhasználónevet, e-mail címet és jelszavakat – szivárogtatnak ki a Google-nak, illetve a Microsoftnak, amikor az emberek űrlapokat töltenek ki népszerű webhelyeken és felhőalapú vállalati alkalmazásokban.
The issue — dubbed “spell-jacking” by researchers at client-side security firm Otto JavaScript Security (Otto-js) — can expose personally identifiable information (PII) from some of the most widely used enterprise applications, including Alibaba, Amazon Web Services, Google Cloud, LastPass, and Office 365, according to egy blogbejegyzés szeptember 16-én jelent meg.
Otto-js co-founder and CTO Josh Summit discovered the leakage — which occurs specifically when Chrome’s Enhanced Spellcheck and Edge’s MS Editor are enabled on browsers —
kutatása közben hogyan szivárogtatják ki a böngészők az adatokat általában.
Summit found that these spell-check features send data to Google and Microsoft that’s entered into form fields — such as username, email, date of birth, and Social Security number — when someone fills out these forms on websites or Web services while using the browsers, the researchers said.
Chrome and Edge also will leak user passwords if the “show password” feature is clicked when someone enters a password into a site or service, sending that data to Google and Microsoft’s third-party servers, they said.
Hol rejlik az adatvédelmi kockázat
Otto-js kutatók, akik közzétették egy videót a YouTube-on a szivárgás mikéntjének bemutatása során több mint 50 olyan webhelyet teszteltek, amelyeket az emberek naponta vagy hetente használnak, és amelyek hozzáféréssel rendelkeznek személyazonosításra alkalmas adatokhoz. Ezek közül 30-at egy hat kategóriát felölelő kontrollcsoportba soroltak – online banki szolgáltatások, felhőalapú irodai eszközök, egészségügy, kormányzat, közösségi média és e-kereskedelem –, és az egyes kategóriákba tartozó webhelyeket az egyes iparágakban elért legjobb helyezés alapján választották ki.
Of the 30 control group websites tested, 96.7% sent data with PII back to Google and Microsoft, while 73% sent passwords when “show password” was clicked. Moreover, the ones that did not send passwords had not actually mitigated the issue; they just lacked the “show password” feature, the researchers said.
Of the websites that the researchers investigated, Google is the only one that already had fixed the issue for email and some services. Otto-js found that the company’s Web service Google Cloud Secret Manager remains vulnerable, however.
Eközben az Auth0, egy népszerű egyszeri bejelentkezési szolgáltatás nem tartozott a kutatók által vizsgált kontrollcsoportba, de ez volt az egyetlen webhely a Google-on kívül, amely megfelelően enyhítette a problémát.
Google’s Enhanced spell-check feature, which requires an opt-in from the user, handles the data in an anonymized way, according to a Google spokesperson.
“The text typed by the user may be sensitive personal information and Google does not attach it to any user identity and only processes it on the server temporarily,” he tells Dark Reading. “To further ensure user privacy, we will be working to exclude passwords proactively from spell check. We appreciate the collaboration with the security community, and we are always looking for ways to better protect user privacy and sensitive information.”
Számos vállalati felhőalapú alkalmazás felhasználói is veszélyben vannak, amikor űrlapokat írnak be, miközben az alkalmazásokat Chrome-on és Edge-en használják, ha a helyesírás-ellenőrző funkciók engedélyezve vannak. A fent említett szolgáltatások közül az Amazon Web Services (AWS) és a LastPass biztonsági csapatai reagáltak az Otto-js-re, és már orvosolták a problémát – közölték a kutatók.
Hová tűnnek az adatok?
One big question that arises is what happens to the data once it’s received by Google and Microsoft, which the researchers said they can’t clearly answer.
At this point, no one knows if the data is being stored on the receiving end or, if this is the case, who is managing its security, the researchers noted. It’s also not clear if the data is managed with the same level of security as known sensitive data such as passwords, or if it’s being used by product teams as metadata for refining models, they said.
Akárhogy is, a kutatók megfigyelték, hogy a probléma ismét felveti az aggodalmat amiatt, hogy a technológiai vállalatok, mint például a Google és a Microsoft, ennyire hozzáférnek az ügyfelekkel, alkalmazottakkal és vállalatokkal kapcsolatos érzékeny információkhoz, különösen ami a jelszavakat illeti.
“Passwords are meant to be a secret you share with the party you intended, and no one else,” they wrote in the post. “A shared secret should be hashed and irreversible, but this feature violates a fundamental security principle of ‘need-to-know’ and could be considered a a magánélet megsértése. "
Könnyen figyelmen kívül hagyható probléma
Moreover, the data leakage can be widespread for users or enterprises for a number of reasons, the researchers noted. One is that because the browser features that expose the data are actually helpful to users, they are likely to be turned on and exposing data without a user’s knowledge.
“What’s concerning is how easy these features are to enable and that most users will enable these features without really realizing what is happening in the background,” Summit says.
The password exposure also occurs as an “unintended interaction” between browser spell-check and a website feature, making it something that might easily fly under the radar, notes Walter Hoehn, vice president of engineering at Otto-js
“The enhanced spell-checking features in Chrome and Edge offer a significant upgrade over the default dictionary-based methods,” he says. “Likewise, websites that provide the option of displaying passwords in cleartext are more usable, especially for those with disabilities.”
Az enyhítés útja
Even if a website or service has not fixed the issue from its side, enterprises can mitigate the risk of sharing their customers’ PII entered into forms by adding “spellcheck=false” to all input fields, although this could create problems for users, researchers acknowledged.
Alternatively, enterprises can just add the command only to form fields with sensitive data to remove the risk, or they could take away the “show password” feature in their forms, they said. This won’t prevent spell-jacking, but it will prevent passwords from being sent, the researchers said.
Az Otto-JS szerint a vállalatok csökkenthetik a vállalati tulajdonú fiókok belső kitettségét azáltal, hogy végponti biztonsági óvintézkedéseket hajtanak végre, amelyek letiltják a továbbfejlesztett helyesírás-ellenőrzési funkciókat, és korlátozzák az alkalmazottakat a nem jóváhagyott böngészőbővítmények telepítésében.
A kutatók hozzátették, hogy a fogyasztók csökkenthetik saját kockázatukat, hogy adataikat a Microsoftnak és a Google-nak tudtuk nélkül küldjék el, ha belépnek böngészőjükbe, és letiltják a megfelelő helyesírás-ellenőrzőt.
