周五,otto-js 研究团队发表了一篇文章,介绍用户如何使用 Google Chrome 或 Google Chrome 的高级拼写检查功能 Microsoft Edge 可能会在不知情的情况下将密码和个人身份信息 (PII) 传输到第三方云服务器。此漏洞不仅使普通最终用户的私人信息面临风险,而且还可能使组织的管理凭据和其他基础设施相关信息对外部人员不安全。
该漏洞是 otto-js 联合创始人兼 CTO Josh Summit 在测试公司脚本行为检测能力时发现的。在测试过程中,Samit 和 otto-js 团队发现,Chrome 增强型拼写检查器或 Edge 中的 MS 编辑器中的功能的正确组合在发送回服务器时会无意中暴露包含 PII 和其他敏感信息的字段数据 Microsoft 和谷歌。这两个功能都需要用户进行明确的操作才能启用,并且一旦启用,用户通常不知道他们的数据正在与第三方共享。
除了现场数据,otto-js 团队还发现用户的密码可以通过密码查看器选项泄露。 此选项可帮助用户避免错误输入密码,但会通过高级拼写检查功能无意中将密码暴露给第三方服务器。
个人用户并不是唯一面临风险的一方。该漏洞可能会导致公司凭据被未经授权的第三方泄露。 otto-js 团队提供了以下示例,展示了登录云服务和基础设施帐户的用户如何在不知不觉中将其凭据传输到服务器 Microsoft 或谷歌。
第一张图(上图)显示了登录阿里云帐户的示例。 当您通过 Chrome 登录时,高级拼写检查功能会在未经管理员许可的情况下向 Google 服务器发送查询信息。 正如您在屏幕截图(下方)中所见,此信息包括为登录公司云而输入的实际密码。 访问此类信息可能会导致从公司和客户数据被盗到关键基础设施完全受损等各种情况。
otto-js 团队对社交媒体、办公工具、医疗保健、政府、电子商务和银行/金融服务的基准进行了测试和分析。接受测试的 96 个对照组中,超过 30% 的人将数据发送回 Microsoft 和谷歌。选择该选项后,73% 的测试站点和群组将密码发送到第三方服务器 显示密码. 那些不发送密码的网站和服务根本就没有这个功能 显示密码 并且不一定得到适当的保护。
otto-js 团队联系 Microsoft 365、阿里云、谷歌云、AWS和LastPass是对企业客户构成最大风险的前五名网站和云服务提供商。根据该公司的安全更新,AWS和LastPass已经做出回应并报告该问题已成功修复。
你可以帮助乌克兰对抗俄罗斯侵略者。 最好的方法是通过以下方式向乌克兰武装部队捐款 拯救生命 或通过官方页面 NBU.
另请阅读:
保持冷静,使用 Firefox
+