拼写检查功能存在于两个 Google Chrome 当人们在流行网站和基于云的企业应用程序上填写表单时,Microsoft Edge 浏览器会分别向 Google 和 Microsoft 泄露敏感的用户信息,包括用户名、电子邮件和密码。
这个问题被客户端安全公司 Otto JavaScript Security (Otto-js) 的研究人员称为“拼写劫持”,它可能会暴露一些最广泛使用的企业应用程序的个人身份信息 (PII),包括阿里巴巴、亚马逊网络服务、Google Cloud、LastPass 和 Office 365,根据 博客文章 16 月 XNUMX 日发布。
Otto-js 联合创始人兼首席技术官 Josh Summit 发现了这一漏洞——这种情况特别发生在浏览器启用 Chrome 的增强拼写检查和 Edge 的 MS 编辑器时——
在进行研究时 浏览器如何泄露数据 一般。
Summit 发现,当有人使用浏览器在网站或 Web 服务上填写这些表单时,这些拼写检查功能会将输入表单字段的数据(例如用户名、电子邮件、出生日期和社会安全号码)发送给 Google 和 Microsoft。 ,研究人员说。
他们表示,如果有人在网站或服务中输入密码时点击“显示密码”功能,Chrome 和 Edge 也会泄露用户密码,并将该数据发送到谷歌和微软的第三方服务器。
隐私风险在哪里
Otto-js 研究人员发布了 YouTube 上的视频 为了演示泄漏是如何发生的,我们测试了人们每天或每周使用的 50 多个可以访问 PII 的网站。他们将其中 30 个分为一个对照组,涵盖六个类别:在线银行、云办公工具、医疗保健、政府、社交媒体和电子商务,并根据每个行业的最高排名为每个类别选择网站。
在测试的 30 个对照组网站中,96.7% 将带有 PII 的数据发送回 Google 和 Microsoft,而 73% 在单击“显示密码”时发送密码。此外,那些不发送密码的人实际上并没有缓解这个问题;研究人员表示,他们只是缺少“显示密码”功能。
在研究人员调查的网站中,谷歌是唯一一个已经解决了电子邮件和某些服务问题的网站。然而,Otto-js 发现该公司的 Web 服务 Google Cloud Secret Manager 仍然容易受到攻击。
与此同时,他们表示,流行的单点登录服务 Auth0 并不属于研究人员调查的对照组,但它是除 Google 之外唯一正确缓解该问题的网站。
谷歌发言人表示,谷歌的增强型拼写检查功能需要用户选择加入,以匿名方式处理数据。
“用户输入的文本可能是敏感的个人信息,谷歌不会将其附加到任何用户身份上,只是暂时在服务器上处理它,”他告诉 Dark Reading。 “为了进一步确保用户隐私,我们将努力主动将密码排除在拼写检查之外。我们感谢与安全社区的合作,并且我们一直在寻找更好地保护用户隐私和敏感信息的方法。”
如果启用了拼写检查功能,许多基于云的企业应用程序的用户在使用 Chrome 和 Edge 上的应用程序输入表单时也会面临风险。研究人员表示,在上述服务中,来自 Amazon Web Services (AWS) 和 LastPass 的安全团队对 Otto-js 做出了回应,并且已经解决了该问题。
数据去哪里?
出现的一个大问题是,谷歌和微软收到数据后会发生什么,研究人员表示他们无法明确回答这一问题。
研究人员指出,目前没有人知道数据是否存储在接收端,或者如果是这种情况,谁在管理其安全性。他们表示,还不清楚这些数据是否采用与已知敏感数据(例如密码)相同的安全级别进行管理,或者产品团队是否将其用作精炼模型的元数据。
不管怎样,研究人员观察到,这个问题再次引起了人们对谷歌和微软等科技公司的担忧,这些公司对客户、员工和公司的敏感信息有如此多的访问权限,特别是在密码方面。
他们在帖子中写道:“密码是你与你想要的一方分享的秘密,而不是其他人。” “共享秘密应该经过哈希处理且不可逆转,但此功能违反了‘需要知道’的基本安全原则,可以被视为 侵犯隐私设立的区域办事处外,我们在美国也开设了办事处,以便我们为当地客户提供更多的支持。“
容易被忽视的问题
此外,研究人员指出,由于多种原因,用户或企业的数据泄露可能很普遍。一是因为暴露数据的浏览器功能实际上对用户有帮助,所以它们很可能在用户不知情的情况下被打开并暴露数据。
“令人担忧的是这些功能启用起来有多容易,而且大多数用户在启用这些功能时并没有真正意识到后台发生了什么,”Summit 说。
Otto-js 工程副总裁 Walter Hoehn 指出,密码泄露也是浏览器拼写检查和网站功能之间的“意外交互”,因此很容易被忽视。
“Chrome 和 Edge 中增强的拼写检查功能比默认的基于字典的方法提供了重大升级,”他说。 “同样,提供以明文显示密码选项的网站更有用,特别是对于残疾人来说。”
缓解途径
即使网站或服务没有从自身角度解决问题,企业也可以通过在所有输入字段中添加“spellcheck=false”来降低共享客户在表单中输入的 PII 的风险,尽管这可能会给用户、研究人员带来问题承认了。
他们表示,或者,企业可以仅将命令添加到包含敏感数据的表单字段中,以消除风险,或者可以取消表单中的“显示密码”功能。研究人员表示,这不会阻止拼写劫持,但会阻止发送密码。
Otto-JS 表示,公司还可以通过实施端点安全预防措施来禁用增强的拼写检查功能并限制员工安装未经批准的浏览器扩展,从而减轻公司拥有的帐户的内部风险。
研究人员补充说,消费者可以通过进入浏览器并禁用相应的拼写检查功能来降低自己的数据在不知情的情况下被发送到微软和谷歌的风险。
