Функції перевірки орфографії присутні в обох Google Chrome і браузери Microsoft Edge витікають конфіденційну інформацію користувачів, включаючи ім’я користувача, електронну адресу та паролі, відповідно до Google і Microsoft, коли люди заповнюють форми на популярних веб-сайтах і хмарних корпоративних програмах.
Проблема, яку дослідники фірми безпеки на стороні клієнта Otto JavaScript Security (Otto-js) охрестили «переробкою заклинань», може розкрити особисту інформацію (PII) з деяких найбільш широко використовуваних корпоративних програм, зокрема Alibaba, Amazon Web Services. , Google Cloud, LastPass і Office 365 блог опубліковано 16 вер.
Співзасновник Otto-js і технічний директор Джош Саміт виявив витік — який виникає, зокрема, коли у браузерах увімкнено Chrome Enhanced Spellcheck і MS Editor Edge —
при проведенні досліджень на як браузери витікають дані в цілому.
Summit виявив, що ці функції перевірки орфографії надсилають дані в Google і Microsoft, які вводяться в поля форми, наприклад ім’я користувача, електронну адресу, дату народження та номер соціального страхування, коли хтось заповнює ці форми на веб-сайтах або в веб-службах під час використання браузерів. , - сказали дослідники.
За їх словами, Chrome і Edge також виточать паролі користувачів, якщо натиснути функцію «показати пароль», коли хтось вводить пароль на сайті чи в службі, надсилаючи ці дані на сторонні сервери Google і Microsoft.
Де криється ризик конфіденційності
Дослідники Otto-js, які опублікували відео на YouTube демонструючи, як відбувається витік, перевірив понад 50 веб-сайтів, якими люди користуються щодня чи щотижня, які мають доступ до ідентифікаційної інформації. Вони розділили 30 із них на контрольну групу, яка охоплювала шість категорій — онлайн-банкінг, хмарні офісні інструменти, охорона здоров’я, уряд, соціальні медіа та електронна комерція — і відібрали веб-сайти для кожної категорії на основі найвищого рейтингу в кожній галузі.
З 30 перевірених веб-сайтів контрольної групи 96.7% надсилали дані з ідентифікаційною інформацією назад у Google і Microsoft, тоді як 73% надсилали паролі після натискання «показати пароль». Крім того, ті, хто не надсилав паролі, насправді не пом’якшили проблему; їм просто не вистачало функції «показати пароль», кажуть дослідники.
З веб-сайтів, які досліджували дослідники, Google є єдиним, який уже вирішив проблему з електронною поштою та деякими службами. Otto-js виявив, що веб-служба компанії Google Cloud Secret Manager залишається вразливою.
Тим часом Auth0, популярна служба єдиного входу, не була в контрольній групі, яку досліджували дослідники, але була єдиним веб-сайтом, окрім Google, який правильно пом’якшив проблему, за їх словами.
За словами представника Google, розширена функція перевірки орфографії Google, яка вимагає згоди від користувача, обробляє дані анонімним способом.
«Текст, який вводить користувач, може бути конфіденційною особистою інформацією, і Google не прив’язує її до жодної ідентифікаційної інформації користувача та лише тимчасово обробляє на сервері», — розповідає він Dark Reading. «Для подальшого забезпечення конфіденційності користувачів ми будемо працювати над тим, щоб завчасно виключати паролі з перевірки орфографії. Ми цінуємо співпрацю зі спільнотою безпеки та завжди шукаємо шляхи для кращого захисту конфіденційності користувачів і конфіденційної інформації».
Користувачі ряду корпоративних хмарних додатків також ризикують вводити форми під час використання додатків у Chrome і Edge, якщо ввімкнено функції перевірки орфографії. За словами дослідників, із зазначених вище служб групи безпеки Amazon Web Services (AWS) і LastPass відповіли на Otto-js і вже усунули проблему.
Куди йдуть дані?
Одне велике питання, яке виникає, полягає в тому, що відбувається з даними, коли їх отримують Google і Microsoft, на яке, за словами дослідників, вони не можуть чітко відповісти.
На даний момент ніхто не знає, чи дані зберігаються на приймальній стороні, або, якщо це так, хто керує їх безпекою, відзначили дослідники. Також незрозуміло, чи керуються даними з таким самим рівнем безпеки, як відомі конфіденційні дані, такі як паролі, чи вони використовуються командами продуктів як метадані для вдосконалення моделей, сказали вони.
У будь-якому випадку дослідники помітили, що ця проблема ще раз викликає занепокоєння щодо того, що технологічні компанії, такі як Google і Microsoft, мають такий великий доступ до конфіденційної інформації про клієнтів, співробітників і компанії, особливо коли мова йде про паролі.
«Паролі призначені для того, щоб бути секретом, яким ви ділитеся зі стороною, яку збираєтеся, і ніким іншим», — написали вони в дописі. «Спільний секрет має бути хешованим і необоротним, але ця функція порушує фундаментальний принцип безпеки «необхідно знати» і може вважатися порушення конфіденційності».
Проблема, яку легко не помітити
Крім того, витік даних може бути широко поширеним для користувачів або підприємств з ряду причин, відзначають дослідники. Одна з них полягає в тому, що оскільки функції веб-переглядача, які надають дані, насправді корисні для користувачів, вони, ймовірно, будуть увімкнені та розкриватимуть дані без відома користувача.
«Нас хвилює те, наскільки легко ввімкнути ці функції, і те, що більшість користувачів увімкнуть ці функції, не усвідомлюючи того, що відбувається у фоновому режимі», — каже Саміт.
Розкриття пароля також відбувається через «ненавмисну взаємодію» між перевіркою орфографії в браузері та функцією веб-сайту, що робить це чимось, що може легко залишитися поза увагою, зазначає Вальтер Хоен, віце-президент з розробки Otto-js.
«Покращені функції перевірки орфографії в Chrome і Edge пропонують значне оновлення порівняно зі стандартними методами на основі словника», — каже він. «Так само веб-сайти, які надають можливість відображати паролі відкритим текстом, більш зручні, особливо для людей з обмеженими можливостями».
Шлях пом'якшення
Навіть якщо веб-сайт або служба не вирішила проблему зі свого боку, підприємства можуть зменшити ризик розголошення ідентифікаційної інформації своїх клієнтів, введеної у форми, додавши «spellcheck=false» до всіх полів введення, хоча це може створити проблеми для користувачів, дослідників визнав.
Крім того, підприємства можуть просто додати команду лише до полів форми з конфіденційними даними, щоб усунути ризик, або вони можуть забрати функцію «показати пароль» у своїх формах, кажуть вони. За словами дослідників, це не запобіжить підробці заклинань, але запобіжить надсиланню паролів.
Відповідно до Otto-JS, компанії також можуть пом’якшити внутрішній доступ до облікових записів, що належать компанії, запровадивши запобіжні заходи безпеки кінцевих точок, які вимкнуть розширені функції перевірки орфографії та обмежать співробітників від встановлення несхвалених розширень браузера.
Дослідники додали, що споживачі можуть знизити ризик того, що їхні дані будуть надіслані в Microsoft і Google без їхнього відома, зайшовши у свій браузер і вимкнувши відповідні зловмисники перевірки орфографії.
