Функции проверки орфографии присутствуют как в Google Chrome и браузеры Microsoft Edge передают конфиденциальную информацию о пользователях, включая имя пользователя, адрес электронной почты и пароли, в Google и Microsoft соответственно, когда люди заполняют формы на популярных веб-сайтах и в облачных корпоративных приложениях.
Эта проблема, названная исследователями клиентской компании Otto JavaScript Security (Otto-js) «спелл-джекингом», может раскрывать личную информацию (PII) из некоторых наиболее широко используемых корпоративных приложений, включая Alibaba, Amazon Web Services. , Google Cloud, LastPass и Office 365. блог опубликовано 16 сентября.
Соучредитель Otto-js и технический директор Джош Саммит обнаружил утечку, которая происходит, когда в браузерах включены расширенная проверка орфографии Chrome и редактор MS Edge.
при проведении исследований по как браузеры сливают данные в целом.
Summit обнаружил, что эти функции проверки орфографии отправляют в Google и Microsoft данные, введенные в поля формы, такие как имя пользователя, адрес электронной почты, дата рождения и номер социального страхования, когда кто-то заполняет эти формы на веб-сайтах или веб-службах при использовании браузеров. , — заявили исследователи.
По их словам, Chrome и Edge также будут передавать пароли пользователей, если нажимается функция «показать пароль», когда кто-то вводит пароль на сайт или в службу, отправляя эти данные на сторонние серверы Google и Microsoft.
В чем заключается риск конфиденциальности
Исследователи Otto-js, опубликовавшие видео на YouTube демонстрируя, как происходит утечка, протестировали более 50 веб-сайтов, которые люди используют ежедневно или еженедельно и имеют доступ к PII. Они разбили 30 из них на контрольную группу, охватывающую шесть категорий — онлайн-банкинг, инструменты облачного офиса, здравоохранение, правительство, социальные сети и электронная коммерция — и выбрали веб-сайты для каждой категории на основе высшего рейтинга в каждой отрасли.
Из 30 протестированных веб-сайтов контрольной группы 96.7% отправляли данные с PII обратно в Google и Microsoft, а 73% отправляли пароли при нажатии «показать пароль». Более того, те, кто не отправлял пароли, на самом деле не устранили проблему; им просто не хватало функции «показать пароль», говорят исследователи.
Из веб-сайтов, которые исследовали исследователи, Google — единственный, на котором проблема с электронной почтой и некоторыми службами уже устранена. Однако компания Otto-js обнаружила, что веб-служба Google Cloud Secret Manager остается уязвимой.
Между тем, Auth0, популярная служба единого входа, не входила в контрольную группу, которую исследовали исследователи, но была единственным веб-сайтом, помимо Google, который правильно устранил проблему.
По словам представителя Google, расширенная функция проверки орфографии Google, которая требует согласия пользователя, обрабатывает данные анонимно.
«Текст, введенный пользователем, может быть конфиденциальной личной информацией, и Google не привязывает его ни к какому идентификатору пользователя, а только временно обрабатывает его на сервере», — говорит он Dark Reading. «Для дальнейшего обеспечения конфиденциальности пользователей мы будем активно исключать пароли из проверки орфографии. Мы ценим сотрудничество с сообществом безопасности и всегда ищем способы лучше защитить конфиденциальность пользователей и конфиденциальную информацию».
Пользователи ряда корпоративных облачных приложений также подвергаются риску при вводе форм при использовании приложений в Chrome и Edge, если включены функции проверки орфографии. По словам исследователей, из этих вышеупомянутых сервисов группы безопасности из Amazon Web Services (AWS) и LastPass отреагировали на Otto-js и уже устранили проблему.
Куда идут данные?
Возникает один большой вопрос: что происходит с данными после их получения Google и Microsoft, на который, по словам исследователей, они не могут дать четкого ответа.
Исследователи отметили, что на данный момент никто не знает, хранятся ли данные на принимающей стороне или, если это так, кто управляет их безопасностью. По их словам, также неясно, управляются ли данные с таким же уровнем безопасности, как и известные конфиденциальные данные, такие как пароли, или они используются группами разработчиков в качестве метаданных для уточнения моделей.
В любом случае, исследователи заметили, что проблема снова вызывает обеспокоенность по поводу того, что технологические компании, такие как Google и Microsoft, имеют так много доступа к конфиденциальной информации о клиентах, сотрудниках и компаниях, особенно когда речь идет о паролях.
«Пароли предназначены для того, чтобы быть секретом, которым вы делитесь с той стороной, которую вы намеревались, и ни с кем другим», — написали они в посте. «Общий секрет должен быть хеширован и необратим, но эта функция нарушает фундаментальный принцип безопасности «необходимо знать» и может рассматриваться как нарушение конфиденциальности".
Легко упускаемая из виду проблема
Более того, утечка данных может быть широко распространена для пользователей или предприятий по ряду причин, отмечают исследователи. Во-первых, поскольку функции браузера, раскрывающие данные, на самом деле полезны для пользователей, они, скорее всего, будут включены и откроют данные без ведома пользователя.
«Что беспокоит, так это то, насколько легко включить эти функции, и что большинство пользователей активируют эти функции, даже не осознавая, что происходит в фоновом режиме», — говорит Саммит.
Раскрытие пароля также происходит как «непреднамеренное взаимодействие» между проверкой орфографии браузера и функцией веб-сайта, что делает его чем-то, что может легко остаться незамеченным, отмечает Уолтер Хён, вице-президент по разработке в Otto-js.
«Расширенные функции проверки орфографии в Chrome и Edge предлагают значительное обновление по сравнению со стандартными методами на основе словаря», — говорит он. «Точно так же веб-сайты, которые предоставляют возможность отображать пароли в открытом виде, более удобны в использовании, особенно для людей с ограниченными возможностями».
Путь смягчения
Даже если веб-сайт или служба не устранили проблему со своей стороны, предприятия могут снизить риск раскрытия личных данных своих клиентов, введенных в формы, добавив «spellcheck=false» во все поля ввода, хотя это может создать проблемы для пользователей, исследователей. признал.
В качестве альтернативы предприятия могут просто добавить команду только для формирования полей с конфиденциальными данными, чтобы устранить риск, или они могут убрать функцию «показать пароль» в своих формах. Исследователи заявили, что это не предотвратит взлом спелл-джекинга, но предотвратит отправку паролей.
По словам Otto-JS, компании также могут уменьшить внутреннюю уязвимость корпоративных учетных записей, внедрив меры безопасности конечных точек, которые отключают расширенные функции проверки орфографии и ограничивают сотрудников от установки несанкционированных расширений браузера.
Исследователи добавили, что потребители могут уменьшить собственный риск того, что их данные будут отправлены в Microsoft и Google без их ведома, зайдя в свои браузеры и отключив соответствующие проверки орфографии.
- блокчейн
- кошельки с криптовалютами
- cryptoexchange
- информационная безопасность
- киберпреступники
- Информационная безопасность
- Темное чтение
- Департамент внутренней безопасности
- цифровые кошельки
- брандмауэр
- Kaspersky
- вредоносных программ
- Mcafee
- НексБЛОК
- Платон
- Платон Ай
- Платон Интеллектуальные данные
- Платон игра
- ПлатонДанные
- платогейминг
- VPN
- безопасности веб-сайтов
