Yazım denetimi özellikleri her ikisinde de mevcuttur Google Chrome ve Microsoft Edge tarayıcıları, insanlar popüler web sitelerinde ve bulut tabanlı kurumsal uygulamalarda form doldururken kullanıcı adı, e-posta ve şifreler dahil olmak üzere hassas kullanıcı bilgilerini sırasıyla Google ve Microsoft'a sızdırıyor.
İstemci tarafı güvenlik firması Otto JavaScript Security'deki (Otto-js) araştırmacılar tarafından "büyü hırsızlığı" olarak adlandırılan sorun, Alibaba, Amazon Web Services, Google Cloud, LastPass ve Office 365 dahil olmak üzere en yaygın kullanılan bazı kurumsal uygulamalardan kişisel olarak tanımlanabilir bilgileri (PII) açığa çıkarabilir. Bir blog yazısı 16 Eylül'de yayınlandı.
Otto-js'nin kurucu ortağı ve CTO'su Josh Summit, özellikle Chrome'un Gelişmiş Yazım Denetimi ve Edge'in MS Düzenleyicisi tarayıcılarda etkinleştirildiğinde ortaya çıkan sızıntıyı keşfetti.
araştırma yaparken tarayıcılar nasıl veri sızdırıyor Genel olarak.
Araştırmacılar, Summit'in bu yazım denetimi özelliklerinin, birisi tarayıcıları kullanırken web sitelerinde veya Web hizmetlerinde bu formları doldurduğunda, kullanıcı adı, e-posta, doğum tarihi ve Sosyal Güvenlik numarası gibi form alanlarına girilen verileri Google ve Microsoft'a gönderdiğini tespit etti.
Birisi bir siteye veya hizmete şifre girdiğinde “şifreyi göster” özelliği tıklanırsa Chrome ve Edge de kullanıcı şifrelerini sızdıracak ve bu verileri Google ve Microsoft'un üçüncü taraf sunucularına göndereceklerini söylediler.
Gizlilik Riskinin Yattığı Yer
Gönderen Otto-js araştırmacıları YouTube'da bir video Sızıntının nasıl meydana geldiğini gösteren, insanların günlük veya haftalık olarak kullandığı ve PII'ye erişimi olan 50'den fazla web sitesini test etti. Bunlardan 30 tanesini altı kategoriyi (çevrimiçi bankacılık, bulut ofis araçları, sağlık, devlet, sosyal medya ve e-ticaret) kapsayan bir kontrol grubuna ve her sektördeki en üst sıralara göre her kategori için seçilen web sitelerine ayırdılar.
Test edilen 30 kontrol grubu web sitesinin %96.7'si Google ve Microsoft'a PII içeren verileri gönderirken, %73'ü "şifreyi göster" tıklandığında şifreleri gönderdi. Üstelik şifre göndermeyenler aslında sorunu hafifletmemişti; araştırmacılar, "şifreyi göster" özelliğinden yoksun olduklarını söyledi.
Araştırmacıların araştırdığı web siteleri arasında, e-posta ve bazı hizmetlerle ilgili sorunu halihazırda çözen tek web sitesi Google'dır. Otto-js, şirketin Web hizmeti Google Cloud Secret Manager'ın yine de savunmasız kaldığını fark etti.
Bu arada, popüler bir tek oturum açma hizmeti olan Auth0'ın araştırmacıların araştırdığı kontrol grubunda yer almadığını, ancak Google dışında sorunu doğru bir şekilde hafifleten tek web sitesi olduğunu söylediler.
Bir Google sözcüsüne göre, Google'ın kullanıcının onayını gerektiren Gelişmiş yazım denetimi özelliği, verileri anonimleştirilmiş bir şekilde işler.
Dark Reading'e "Kullanıcı tarafından yazılan metin hassas kişisel bilgiler olabilir ve Google bunu herhangi bir kullanıcı kimliğine eklemez ve sunucuda yalnızca geçici olarak işler" dedi. "Kullanıcı gizliliğini daha fazla sağlamak için, parolaları proaktif olarak yazım denetiminden hariç tutmak için çalışıyoruz. Güvenlik topluluğuyla işbirliğini takdir ediyoruz ve her zaman kullanıcı gizliliğini ve hassas bilgileri daha iyi korumanın yollarını arıyoruz."
Yazım denetimi özellikleri etkinleştirildiyse, çeşitli kurumsal bulut tabanlı uygulamaların kullanıcıları, Chrome ve Edge'deki uygulamaları kullanırken form girerken de risk altındadır. Araştırmacılar, söz konusu hizmetlerden Amazon Web Services (AWS) ve LastPass güvenlik ekiplerinin Otto-js'ye yanıt verdiğini ve sorunu çoktan çözdüğünü söyledi.
Veriler Nereye Gidiyor?
Ortaya çıkan büyük bir soru, araştırmacıların açıkça cevaplayamayacaklarını söyledikleri Google ve Microsoft tarafından alındığında verilere ne olacağıdır.
Araştırmacılar, bu noktada, verilerin alıcı tarafta depolanıp depolanmadığını veya durum buysa, güvenliğini kimin yönettiğini kimsenin bilmediğini belirtti. Verilerin, parolalar gibi bilinen hassas verilerle aynı güvenlik düzeyinde yönetilip yönetilmediği veya ürün ekipleri tarafından modelleri iyileştirmek için meta veri olarak kullanılıp kullanılmadığı da net değil.
Her iki durumda da araştırmacılar, sorunun bir kez daha Google ve Microsoft gibi teknoloji şirketlerinin müşteriler, çalışanlar ve şirketler hakkındaki hassas bilgilere, özellikle de şifreler söz konusu olduğunda, bu kadar çok erişimi olduğuna dair endişeleri artırdığını gözlemledi.
Gönderide, "Parolalar, amaçladığınız tarafla paylaştığınız bir sır olmalı ve başka kimseyle paylaşılmamalıdır" diye yazdılar. "Paylaşılan bir sırrın hashlenmesi ve geri döndürülemez olması gerekir, ancak bu özellik 'bilinmesi gerekenler' şeklindeki temel bir güvenlik ilkesini ihlal eder ve bir Gizlilik ihlali".
Kolayca Gözden Kaçan Sorun
Ayrıca araştırmacılar, veri sızıntısının kullanıcılar veya işletmeler için çeşitli nedenlerle yaygın olabileceğini belirtti. Birincisi, verileri ifşa eden tarayıcı özellikleri aslında kullanıcılara yardımcı olduğu için, bunların açılması ve kullanıcının bilgisi olmadan verileri ifşa etmesi muhtemeldir.
Summit, "Endişe verici olan, bu özelliklerin etkinleştirilmesinin ne kadar kolay olduğu ve çoğu kullanıcının bu özellikleri arka planda neler olduğunu gerçekten anlamadan etkinleştireceğidir" diyor.
Otto-js'de mühendislikten sorumlu başkan yardımcısı Walter Hoehn, şifrenin açığa çıkmasının aynı zamanda tarayıcı yazım denetimi ile bir web sitesi özelliği arasında "istenmeyen bir etkileşim" olarak ortaya çıktığını ve bu durumun kolayca gözden kaçabilecek bir şey olduğunu belirtiyor.
"Chrome ve Edge'deki gelişmiş yazım denetimi özellikleri, varsayılan sözlük tabanlı yöntemlere göre önemli bir yükseltme sunuyor" diyor. "Aynı şekilde, parolaları düz metin olarak görüntüleme seçeneği sunan web siteleri, özellikle engelli olanlar için daha kullanışlı."
Azaltma Yolu
Araştırmacılar, bir web sitesi veya hizmet sorunu kendi açısından çözmemiş olsa bile, kuruluşların tüm giriş alanlarına "imla denetimi=yanlış" ekleyerek müşterilerinin formlara girilen PII'lerini paylaşma riskini azaltabileceğini, ancak bunun kullanıcılar için sorun yaratabileceğini kabul ediyor.
Alternatif olarak, işletmelerin riski ortadan kaldırmak için yalnızca hassas veriler içeren alanlara komutu ekleyebilecekleri veya formlarındaki "şifreyi göster" özelliğini kaldırabileceklerini söylediler. Araştırmacılar, bunun yazım hırsızlığını engellemeyeceğini, ancak şifrelerin gönderilmesini önleyeceğini söyledi.
Otto-JS'ye göre şirketler ayrıca, gelişmiş yazım denetimi özelliklerini devre dışı bırakan ve çalışanların onaylanmamış tarayıcı uzantılarını yüklemesini sınırlayan uç nokta güvenlik önlemleri uygulayarak şirkete ait hesapların dahili olarak açığa çıkmasını azaltabilir.
Araştırmacılar, tüketicilerin tarayıcılarına gidip ilgili yazım denetimi suçlularını devre dışı bırakarak bilgileri olmadan verilerinin Microsoft ve Google'a gönderilmesi riskini azaltabilirler.
