맞춤법 검사 기능은 두 Google Chrome 및 Microsoft Edge 브라우저는 사람들이 인기 있는 웹사이트 및 클라우드 기반 엔터프라이즈 앱에서 양식을 작성할 때 사용자 이름, 이메일 및 암호를 포함한 민감한 사용자 정보를 각각 Google과 Microsoft에 유출하고 있습니다.
클라이언트 측 보안 회사인 Otto JavaScript Security(Otto-js)의 연구원들이 "맞춤법 재킹(spell-jacking)"이라고 명명한 이 문제는 Alibaba, Amazon Web Services를 포함하여 가장 널리 사용되는 일부 엔터프라이즈 애플리케이션에서 개인 식별 정보(PII)를 노출할 수 있습니다. , Google Cloud, LastPass 및 Office 365에 따라 블로그 게시물 16월 XNUMX일 발행.
Otto-js의 공동 창립자이자 CTO인 Josh Summit은 특히 Chrome의 향상된 맞춤법 검사 및 Edge의 MS Editor가 브라우저에서 활성화될 때 발생하는 누출을 발견했습니다.
에 대한 연구를 진행하면서 브라우저가 데이터를 유출하는 방법 일반적으로합니다.
Summit은 이러한 맞춤법 검사 기능이 사용자 이름, 이메일, 생년월일, 주민등록번호와 같은 양식 필드에 입력된 데이터를 Google 및 Microsoft에 전송한다는 사실을 발견했습니다. 이는 누군가가 브라우저를 사용하는 동안 웹사이트 또는 웹 서비스에서 이러한 양식을 작성할 때입니다. , 연구원은 말했다.
Chrome과 Edge는 누군가가 사이트나 서비스에 비밀번호를 입력할 때 "비밀번호 표시" 기능을 클릭하면 사용자 비밀번호를 유출하여 해당 데이터를 Google 및 Microsoft의 타사 서버로 전송한다고 그들은 말했습니다.
프라이버시 위험이 있는 곳
게시한 Otto-js 연구원 YouTube의 동영상 누출이 어떻게 발생하는지 시연하고 사람들이 매일 또는 매주 사용하며 PII에 액세스할 수 있는 50개 이상의 웹사이트를 테스트했습니다. 그들은 그 중 30개를 온라인 뱅킹, 클라우드 오피스 도구, 의료, 정부, 소셜 미디어, 전자 상거래 등 XNUMX개 범주에 걸쳐 통제 그룹으로 분류하고 각 산업의 최상위 순위를 기준으로 각 범주에 대한 웹 사이트를 선택했습니다.
테스트한 30개의 통제 그룹 웹사이트 중 96.7%는 PII가 포함된 데이터를 Google 및 Microsoft로 다시 보냈고 73%는 "비밀번호 표시"를 클릭했을 때 비밀번호를 보냈습니다. 게다가 암호를 보내지 않은 사람들은 실제로 문제를 완화하지 못했습니다. 연구원들은 "비밀번호 표시" 기능이 부족할 뿐이라고 말했습니다.
연구원들이 조사한 웹사이트 중 Google은 이미 이메일 및 일부 서비스의 문제를 해결한 유일한 웹사이트입니다. 그러나 Otto-js는 회사의 웹 서비스인 Google Cloud Secret Manager가 여전히 취약하다는 사실을 발견했습니다.
한편, 인기 있는 싱글 사인온 서비스인 Auth0는 연구원들이 조사한 통제 그룹에 포함되지 않았지만 문제를 올바르게 완화한 웹사이트는 Google 외에 유일하다고 그들은 말했습니다.
Google 대변인에 따르면 사용자의 선택이 필요한 Google의 향상된 맞춤법 검사 기능은 익명화된 방식으로 데이터를 처리합니다.
"사용자가 입력한 텍스트는 민감한 개인 정보일 수 있으며 Google은 이를 사용자 ID에 첨부하지 않고 서버에서 일시적으로만 처리합니다."라고 Dark Reading에 말합니다. “사용자 개인 정보를 더욱 확실히 보장하기 위해 맞춤법 검사에서 사전에 비밀번호를 제외하기 위해 노력할 것입니다. 우리는 보안 커뮤니티와의 협력에 감사하며 항상 사용자 개인 정보와 민감한 정보를 더 잘 보호할 수 있는 방법을 찾고 있습니다.”
맞춤법 검사 기능이 활성화된 경우 여러 엔터프라이즈 클라우드 기반 애플리케이션 사용자도 Chrome 및 Edge에서 앱을 사용하는 동안 양식을 입력할 때 위험에 처합니다. 연구원들은 앞서 언급한 서비스 중 Amazon Web Services(AWS)와 LastPass의 보안 팀이 Otto-js에 응답했으며 이미 문제를 해결했다고 말했습니다.
데이터는 어디로 가는가?
발생하는 큰 질문 중 하나는 Google과 Microsoft가 데이터를 받은 후 데이터가 어떻게 되는지에 대한 것입니다. 연구원들은 이에 대해 명확하게 대답할 수 없다고 말했습니다.
이 시점에서 데이터가 수신 측에 저장되고 있는지 또는 이 경우 보안을 관리하는 사람이 누구인지 아는 사람은 아무도 없다고 연구원들은 지적했습니다. 데이터가 암호와 같은 알려진 민감한 데이터와 동일한 수준의 보안으로 관리되는지 또는 제품 팀에서 모델을 개선하기 위한 메타데이터로 사용되고 있는지도 명확하지 않다고 그들은 말했습니다.
어느 쪽이든 연구원들은 이 문제가 특히 암호와 관련하여 Google 및 Microsoft와 같은 기술 회사가 고객, 직원 및 회사에 대한 민감한 정보에 너무 많이 액세스하는 것에 대한 우려를 다시 한 번 제기한다는 것을 관찰했습니다.
"암호는 당신이 의도한 당사자와 공유하는 비밀을 의미하며 다른 누구와도 공유하지 않습니다."라고 그들은 게시물에 썼습니다. “공유 비밀은 해시되고 되돌릴 수 없어야 하지만 이 기능은 '알아야 함'이라는 기본 보안 원칙을 위반하며 사생활 침해. "
쉽게 간과되는 문제
또한 데이터 유출은 여러 가지 이유로 사용자나 기업에 광범위하게 퍼질 수 있다고 연구원들은 지적했습니다. 하나는 데이터를 노출하는 브라우저 기능이 실제로 사용자에게 도움이 되기 때문에 사용자 모르게 켜져 데이터를 노출할 가능성이 높다는 점입니다.
서밋은 "문제는 이러한 기능을 얼마나 쉽게 사용할 수 있고 대부분의 사용자가 백그라운드에서 무슨 일이 일어나고 있는지 깨닫지 못한 채 이러한 기능을 사용할 것이라는 점입니다."라고 말했습니다.
Otto-js의 엔지니어링 부사장인 Walter Hoehn은 비밀번호 노출이 브라우저 맞춤법 검사와 웹사이트 기능 사이의 "의도하지 않은 상호 작용"으로 발생하여 레이더 아래로 쉽게 날아갈 수 있다고 지적합니다.
"Chrome 및 Edge의 향상된 맞춤법 검사 기능은 기본 사전 기반 방법에 비해 상당한 업그레이드를 제공합니다."라고 그는 말합니다. "마찬가지로 일반 텍스트로 암호를 표시하는 옵션을 제공하는 웹사이트는 특히 장애가 있는 사용자에게 더 유용합니다."
완화 경로
웹 사이트나 서비스가 문제를 해결하지 않은 경우에도 기업은 모든 입력 필드에 "spellcheck=false"를 추가하여 양식에 입력된 고객의 PII를 공유할 위험을 완화할 수 있습니다. 인정.
또는 기업은 위험을 제거하기 위해 민감한 데이터가 있는 양식 필드에만 명령을 추가하거나 양식에서 "비밀번호 표시" 기능을 제거할 수 있다고 그들은 말했습니다. 이것은 스펠재킹을 방지하지는 못하지만 암호가 전송되는 것을 방지할 것이라고 연구원들은 말했습니다.
Otto-JS에 따르면 회사는 향상된 맞춤법 검사 기능을 비활성화하고 직원이 승인되지 않은 브라우저 확장 프로그램을 설치하지 못하도록 제한하는 엔드포인트 보안 예방 조치를 구현하여 회사 소유 계정의 내부 노출을 완화할 수 있습니다.
연구원들은 소비자가 자신의 브라우저로 이동하여 각각의 맞춤법 검사 범인을 비활성화함으로써 자신도 모르는 사이에 Microsoft와 Google에 데이터가 전송되는 위험을 완화할 수 있다고 덧붙였습니다.
