Funkcije za preverjanje črkovanja, ki so prisotne v obeh Google Chrome in brskalniki Microsoft Edge oddajajo občutljive uporabniške podatke – vključno z uporabniškim imenom, e-pošto in gesli – Googlu oziroma Microsoftu, ko ljudje izpolnjujejo obrazce na priljubljenih spletnih mestih in v poslovnih aplikacijah v oblaku.
Težava – ki so jo raziskovalci pri varovalnem podjetju Otto JavaScript Security (Otto-js) poimenovali »spell-jacking« – lahko razkrije podatke, ki omogočajo osebno identifikacijo (PII) iz nekaterih najpogosteje uporabljenih poslovnih aplikacij, vključno z Alibaba, Amazon Web Services , Google Cloud, LastPass in Office 365, glede na blog post objavljeno 16. sept.
Soustanovitelj Otto-js in tehnični direktor Josh Summit je odkril uhajanje — do katerega pride posebej, ko sta v brskalnikih omogočena Chromovo izboljšano preverjanje črkovanja in Edgeov MS Editor —
med izvajanjem raziskav o kako brskalniki puščajo podatke na splošno.
Summit je ugotovil, da te funkcije za preverjanje črkovanja pošiljajo podatke Googlu in Microsoftu, ki so vneseni v polja obrazca, kot so uporabniško ime, e-pošta, datum rojstva in številka socialnega zavarovanja, ko nekdo izpolni te obrazce na spletnih mestih ali spletnih storitvah med uporabo brskalnikov. , so povedali raziskovalci.
Chrome in Edge bosta prav tako razkrila uporabniška gesla, če kliknete funkcijo »pokaži geslo«, ko nekdo vnese geslo na spletno mesto ali storitev, in te podatke pošlje Googlu in Microsoftovim strežnikom tretjih oseb, so povedali.
Kje je tveganje za zasebnost
Raziskovalci Otto-js, ki so objavili video na YouTubu ki prikazuje, kako pride do uhajanja, je testiral več kot 50 spletnih mest, ki jih ljudje uporabljajo dnevno ali tedensko in imajo dostop do PII. 30 od teh so razdelili v kontrolno skupino, ki je zajemala šest kategorij - spletno bančništvo, pisarniška orodja v oblaku, zdravstvo, vlada, družbeni mediji in e-trgovina - in izbrali spletna mesta za vsako kategorijo na podlagi najvišje uvrstitve v vsaki industriji.
Od 30 preizkušenih spletnih mest kontrolne skupine jih je 96.7 % poslalo podatke z osebno osebnimi podatki nazaj Googlu in Microsoftu, medtem ko jih je 73 % poslalo gesla, ko je bilo kliknjeno »pokaži geslo«. Poleg tega tisti, ki niso poslali gesel, dejansko niso ublažili težave; manjkala jim je samo funkcija »pokaži geslo«, so povedali raziskovalci.
Od spletnih mest, ki so jih preiskali raziskovalci, je Google edino, ki je že odpravilo težavo z e-pošto in nekaterimi storitvami. Otto-js je ugotovil, da je spletna storitev podjetja Google Cloud Secret Manager še vedno ranljiva.
Medtem Auth0, priljubljena storitev enotne prijave, ni bila v kontrolni skupini, ki so jo preiskali raziskovalci, ampak je bila edina spletna stran razen Googla, ki je pravilno ublažila težavo, so povedali.
Googlova izboljšana funkcija za preverjanje črkovanja, ki zahteva privolitev uporabnika, po besedah Googlovega tiskovnega predstavnika obravnava podatke na anonimen način.
»Besedilo, ki ga vtipka uporabnik, je lahko občutljiv osebni podatek in Google ga ne pripne nobeni uporabniški identiteti in ga samo začasno obdeluje na strežniku,« je povedal za Dark Reading. »Da bi dodatno zagotovili zasebnost uporabnikov, si bomo prizadevali proaktivno izključiti gesla iz preverjanja črkovanja. Cenimo sodelovanje z varnostno skupnostjo in vedno iščemo načine za boljšo zaščito zasebnosti uporabnikov in občutljivih informacij.«
Uporabniki številnih poslovnih aplikacij v oblaku so prav tako ogroženi pri vnašanju obrazcev med uporabo aplikacij v Chromu in Edge, če so omogočene funkcije za preverjanje črkovanja. Od zgoraj omenjenih storitev sta se varnostni skupini iz Amazon Web Services (AWS) in LastPass odzvali na Otto-js in že odpravili težavo, so povedali raziskovalci.
Kam gredo podatki?
Eno veliko vprašanje, ki se pojavi, je, kaj se zgodi s podatki, ko jih prejmeta Google in Microsoft, na kar so raziskovalci dejali, da ne morejo jasno odgovoriti.
Na tej točki nihče ne ve, ali so podatki shranjeni na prejemnem koncu ali, če je temu tako, kdo upravlja njihovo varnost, so opozorili raziskovalci. Prav tako ni jasno, ali se podatki upravljajo z enako stopnjo varnosti kot znani občutljivi podatki, kot so gesla, ali pa jih skupine izdelkov uporabljajo kot metapodatke za izboljšanje modelov, so povedali.
Kakor koli že, raziskovalci so opazili, da to vprašanje ponovno vzbuja zaskrbljenost glede tehnoloških podjetij, kot sta Google in Microsoft, ki imajo tako velik dostop do občutljivih informacij o strankah, zaposlenih in podjetjih, zlasti ko gre za gesla.
"Gesla naj bi bila skrivnost, ki jo delite z zabavo, ki ste jo nameravali, in z nikomer drugim," so zapisali v objavi. »Skrivnost v skupni rabi bi morala biti zgoščena in nepovratna, vendar ta funkcija krši temeljno varnostno načelo 'potrebe vedeti' in se lahko obravnava kot kršitev zasebnosti«.
Težava, ki jo zlahka spregledamo
Poleg tega je lahko uhajanje podatkov zelo razširjeno za uporabnike ali podjetja iz več razlogov, ugotavljajo raziskovalci. Ena je ta, da ker so funkcije brskalnika, ki razkrivajo podatke, dejansko koristne za uporabnike, bodo verjetno vklopljene in razkrivajo podatke brez vednosti uporabnika.
»Zaskrbljujoče je, kako preprosto je te funkcije omogočiti in da bo večina uporabnikov omogočila te funkcije, ne da bi se zares zavedali, kaj se dogaja v ozadju,« pravi Summit.
Izpostavljenost gesla se pojavi tudi kot "nenamerna interakcija" med preverjanjem črkovanja v brskalniku in funkcijo spletnega mesta, zaradi česar bi lahko zlahka ušla izpod radarja, ugotavlja Walter Hoehn, podpredsednik inženiringa pri Otto-js
»Izboljšane funkcije za preverjanje črkovanja v Chromu in Edge ponujajo znatno nadgradnjo v primerjavi s privzetimi metodami, ki temeljijo na slovarju,« pravi. "Prav tako so spletna mesta, ki ponujajo možnost prikaza gesel v čistem besedilu, bolj uporabna, zlasti za osebe s posebnimi potrebami."
Pot ublažitve
Tudi če spletna stran ali storitev s svoje strani ni odpravila težave, lahko podjetja zmanjšajo tveganje pri razkrivanju osebno prepoznavnih podatkov svojih strank, vnesenih v obrazce, z dodajanjem »spellcheck=false« v vsa vnosna polja, čeprav bi to lahko povzročilo težave uporabnikom, raziskovalcem. priznano.
Druga možnost je, da lahko podjetja dodajo ukaz samo v polja obrazca z občutljivimi podatki, da odstranijo tveganje, ali pa lahko v svojih obrazcih odstranijo funkcijo »pokaži geslo«, so povedali. To ne bo preprečilo črkovanja, bo pa preprečilo pošiljanje gesel, so povedali raziskovalci.
Podjetja lahko tudi ublažijo notranjo izpostavljenost računov v lasti podjetja z izvajanjem varnostnih ukrepov za končne točke, ki onemogočijo izboljšane funkcije preverjanja črkovanja in zaposlenim omejujejo namestitev neodobrenih razširitev brskalnika, pravi Otto-JS.
Potrošniki lahko zmanjšajo lastno tveganje, da bi bili njihovi podatki poslani Microsoftu in Googlu brez njihove vednosti, tako da gredo v svoje brskalnike in onemogočijo posamezne krivce za preverjanje črkovanja, dodajajo raziskovalci.
- blockchain
- kriptokurrency denarnice
- kripto izmenjava
- kibernetska varnost
- cybercriminals
- Cybersecurity
- Temno branje
- oddelek za domovinsko varnost
- digitalne denarnice
- požarni zid
- Kaspersky
- zlonamerna programska oprema
- Mccafee
- NexBLOC
- platon
- platon ai
- Platonova podatkovna inteligenca
- Igra Platon
- PlatoData
- platogaming
- VPN
- spletna varnost
