Các tính năng kiểm tra chính tả có trong cả hai Google Chrome và trình duyệt Microsoft Edge đang làm rò rỉ thông tin nhạy cảm của người dùng — bao gồm tên người dùng, email và mật khẩu — cho Google và Microsoft, tương ứng, khi mọi người điền vào biểu mẫu trên các trang web phổ biến và ứng dụng doanh nghiệp dựa trên đám mây.
Vấn đề này – được các nhà nghiên cứu tại công ty bảo mật phía khách hàng Otto JavaScript Security (Otto-js) gọi là “spell-jacking” – có thể làm lộ thông tin nhận dạng cá nhân (PII) từ một số ứng dụng doanh nghiệp được sử dụng rộng rãi nhất, bao gồm Alibaba, Amazon Web Services , Google Cloud, LastPass và Office 365, theo một bài đăng blog xuất bản ngày 16 tháng XNUMX.
Người đồng sáng lập Otto-js và CTO Josh Summit đã phát hiện ra sự rò rỉ - đặc biệt xảy ra khi tính năng Kiểm tra chính tả nâng cao của Chrome và MS Editor của Edge được bật trên trình duyệt -
trong khi tiến hành nghiên cứu về cách trình duyệt rò rỉ dữ liệu nói chung.
Summit nhận thấy rằng các tính năng kiểm tra chính tả này gửi dữ liệu tới Google và Microsoft được nhập vào các trường biểu mẫu — chẳng hạn như tên người dùng, email, ngày sinh và số An sinh xã hội — khi ai đó điền vào các biểu mẫu này trên trang web hoặc dịch vụ Web trong khi sử dụng trình duyệt , các nhà nghiên cứu cho biết.
Họ cho biết, Chrome và Edge cũng sẽ rò rỉ mật khẩu người dùng nếu tính năng “hiển thị mật khẩu” được nhấp vào khi ai đó nhập mật khẩu vào một trang web hoặc dịch vụ, gửi dữ liệu đó đến máy chủ bên thứ ba của Google và Microsoft.
Rủi ro về quyền riêng tư nằm ở đâu
Các nhà nghiên cứu Otto-js, người đã đăng một video trên YouTube minh họa cách rò rỉ xảy ra, đã thử nghiệm hơn 50 trang web mà mọi người sử dụng hàng ngày hoặc hàng tuần có quyền truy cập vào PII. Họ đã chia 30 trong số đó thành một nhóm kiểm soát bao gồm sáu danh mục — ngân hàng trực tuyến, công cụ văn phòng trên nền tảng đám mây, chăm sóc sức khỏe, chính phủ, mạng xã hội và thương mại điện tử — và các trang web được chọn cho từng danh mục dựa trên xếp hạng hàng đầu trong mỗi ngành.
Trong số 30 trang web của nhóm kiểm soát được thử nghiệm, 96.7% đã gửi dữ liệu có PII trở lại Google và Microsoft, trong khi 73% gửi mật khẩu khi người dùng nhấp vào “hiển thị mật khẩu”. Hơn nữa, những người không gửi mật khẩu đã không thực sự giảm thiểu được vấn đề; Các nhà nghiên cứu cho biết họ chỉ thiếu tính năng “hiển thị mật khẩu”.
Trong số các trang web mà các nhà nghiên cứu đã điều tra, Google là trang web duy nhất đã khắc phục sự cố đối với email và một số dịch vụ. Tuy nhiên, Otto-js nhận thấy rằng dịch vụ Web Google Cloud Secret Manager của công ty vẫn dễ bị tấn công.
Trong khi đó, Auth0, một dịch vụ đăng nhập một lần phổ biến, không nằm trong nhóm kiểm soát mà các nhà nghiên cứu đã điều tra nhưng là trang web duy nhất ngoài Google đã giảm thiểu vấn đề một cách chính xác, họ nói.
Theo người phát ngôn của Google, tính năng kiểm tra chính tả nâng cao của Google, yêu cầu người dùng chọn tham gia, xử lý dữ liệu theo cách ẩn danh.
Ông nói với Dark Reading: “Văn bản do người dùng nhập có thể là thông tin cá nhân nhạy cảm và Google không đính kèm nó với bất kỳ danh tính người dùng nào và chỉ tạm thời xử lý nó trên máy chủ”. “Để đảm bảo hơn nữa quyền riêng tư của người dùng, chúng tôi sẽ nỗ lực chủ động loại trừ mật khẩu khỏi quá trình kiểm tra chính tả. Chúng tôi đánh giá cao sự hợp tác với cộng đồng bảo mật và chúng tôi luôn tìm cách bảo vệ quyền riêng tư và thông tin nhạy cảm của người dùng tốt hơn.”
Người dùng của một số ứng dụng dựa trên đám mây dành cho doanh nghiệp cũng gặp rủi ro khi nhập biểu mẫu trong khi sử dụng ứng dụng trên Chrome và Edge nếu tính năng kiểm tra chính tả được bật. Các nhà nghiên cứu cho biết trong số các dịch vụ nói trên, các nhóm bảo mật từ Amazon Web Services (AWS) và LastPass đã phản hồi Otto-js và đã khắc phục sự cố.
Dữ liệu đi đâu?
Một câu hỏi lớn được đặt ra là điều gì sẽ xảy ra với dữ liệu sau khi Google và Microsoft nhận được dữ liệu mà các nhà nghiên cứu cho biết họ không thể trả lời rõ ràng.
Các nhà nghiên cứu lưu ý rằng tại thời điểm này, không ai biết liệu dữ liệu có được lưu trữ ở đầu nhận hay không, hay nếu đúng như vậy thì ai đang quản lý tính bảo mật của dữ liệu đó. Họ cũng không rõ liệu dữ liệu có được quản lý với cùng mức độ bảo mật như dữ liệu nhạy cảm đã biết như mật khẩu hay dữ liệu đó đang được nhóm sản phẩm sử dụng làm siêu dữ liệu để tinh chỉnh mô hình hay không.
Dù bằng cách nào, các nhà nghiên cứu đã quan sát thấy rằng vấn đề này một lần nữa làm dấy lên mối lo ngại về việc các công ty công nghệ như Google và Microsoft có quá nhiều quyền truy cập vào thông tin nhạy cảm về khách hàng, nhân viên và công ty, đặc biệt là khi nói đến mật khẩu.
Họ viết trong bài đăng: “Mật khẩu là bí mật mà bạn chia sẻ với bên mà bạn dự định chứ không phải ai khác”. “Một bí mật được chia sẻ phải được băm và không thể đảo ngược, nhưng tính năng này vi phạm nguyên tắc bảo mật cơ bản là 'cần biết' và có thể được coi là một vi phạm quyền riêng tư".
Vấn đề dễ bị bỏ qua
Hơn nữa, các nhà nghiên cứu lưu ý rằng việc rò rỉ dữ liệu có thể lan rộng đối với người dùng hoặc doanh nghiệp vì một số lý do. Một là vì các tính năng của trình duyệt tiết lộ dữ liệu thực sự hữu ích cho người dùng nên chúng có thể được bật và hiển thị dữ liệu mà người dùng không hề hay biết.
Summit cho biết: “Điều đáng quan tâm là mức độ dễ dàng kích hoạt các tính năng này và hầu hết người dùng sẽ kích hoạt các tính năng này mà không thực sự nhận ra điều gì đang xảy ra ở chế độ nền”.
Walter Hoehn, phó chủ tịch kỹ thuật của Otto-js, lưu ý rằng việc lộ mật khẩu cũng xảy ra dưới dạng “tương tác ngoài ý muốn” giữa tính năng kiểm tra chính tả của trình duyệt và tính năng của trang web, khiến nó có thể dễ dàng bị phát hiện.
Ông nói: “Các tính năng kiểm tra chính tả nâng cao trong Chrome và Edge cung cấp một bản nâng cấp đáng kể so với các phương pháp dựa trên từ điển mặc định”. “Tương tự như vậy, các trang web cung cấp tùy chọn hiển thị mật khẩu ở dạng văn bản rõ ràng sẽ dễ sử dụng hơn, đặc biệt đối với những người khuyết tật.”
Con đường giảm nhẹ
Ngay cả khi trang web hoặc dịch vụ chưa khắc phục sự cố từ phía mình, doanh nghiệp vẫn có thể giảm thiểu rủi ro khi chia sẻ PII của khách hàng đã nhập vào biểu mẫu bằng cách thêm “spellcheck=false” vào tất cả các trường nhập, mặc dù điều này có thể gây ra sự cố cho người dùng, nhà nghiên cứu. thừa nhận.
Ngoài ra, các doanh nghiệp chỉ có thể thêm lệnh vào biểu mẫu các trường có dữ liệu nhạy cảm để loại bỏ rủi ro hoặc họ có thể loại bỏ tính năng “hiển thị mật khẩu” trong biểu mẫu của mình. Các nhà nghiên cứu cho biết điều này sẽ không ngăn chặn việc đánh vần nhưng sẽ ngăn chặn việc gửi mật khẩu.
Theo Otto-JS, các công ty cũng có thể giảm thiểu rủi ro nội bộ đối với các tài khoản do công ty sở hữu bằng cách triển khai các biện pháp phòng ngừa bảo mật điểm cuối nhằm vô hiệu hóa các tính năng kiểm tra chính tả nâng cao và hạn chế nhân viên cài đặt các tiện ích mở rộng trình duyệt không được phê duyệt.
Các nhà nghiên cứu cho biết thêm, người tiêu dùng có thể giảm thiểu rủi ro khi dữ liệu của họ được gửi tới Microsoft và Google mà họ không biết bằng cách truy cập vào trình duyệt của họ và vô hiệu hóa thủ phạm kiểm tra chính tả tương ứng.
