V piatok výskumný tím otto-js publikoval článok o tom, ako používatelia používajú pokročilé funkcie kontroly pravopisu prehliadača Google Chrome resp. Microsoft Edge môže nevedomky prenášať heslá a osobné údaje (PII) na cloudové servery tretích strán. Táto zraniteľnosť nielenže ohrozuje súkromné informácie priemerného koncového používateľa, ale môže tiež ponechať administratívne poverenia organizácie a ďalšie informácie súvisiace s infraštruktúrou nezabezpečené pre cudzincov.
Zraniteľnosť objavil spoluzakladateľ otto-js a CTO Josh Summit pri testovaní schopností spoločnosti na zisťovanie správania skriptov. Počas testovania Samit a tím otto-js zistili, že správna kombinácia funkcií vylepšenej kontroly pravopisu prehliadača Chrome alebo editora MS Editor v Edge neúmyselne odhalila údaje poľa obsahujúce PII a ďalšie citlivé informácie, keď boli odoslané späť na servery. Microsoft a Google. Obe funkcie vyžadujú od používateľov explicitné akcie, aby ich mohli aktivovať, a po povolení si používatelia často neuvedomujú, že ich údaje sa zdieľajú s tretími stranami.
Okrem údajov z poľa tím otto-js tiež zistil, že heslá používateľov možno odhaliť pomocou možnosti prehliadača hesiel. Táto možnosť, ktorá používateľom pomôže vyhnúť sa nesprávnemu zadávaniu hesiel, neúmyselne odhaľuje heslo serverom tretích strán prostredníctvom pokročilých funkcií kontroly pravopisu.
Jednotliví používatelia nie sú jedinou ohrozenou stranou. Zraniteľnosť by mohla viesť ku kompromitovaniu firemných poverení neoprávnenými tretími stranami. Tím otto-js poskytol nasledujúce príklady, ktoré ukazujú, ako môžu používatelia prihlásení do cloudových služieb a účtov infraštruktúry nevedomky prenášať svoje poverenia na servery. Microsoft alebo Google.
Prvý obrázok (vyššie) zobrazuje príklad prihlásenia sa do účtu Alibaba Cloud. Keď sa prihlásite cez Chrome, rozšírená funkcia kontroly pravopisu odošle informácie o dopyte na servery Google bez povolenia správcu. Ako môžete vidieť na snímke obrazovky (nižšie), tieto informácie zahŕňajú skutočné heslo, ktoré sa zadáva na prihlásenie do cloudu spoločnosti. Prístup k tomuto druhu informácií môže viesť k čomukoľvek, od krádeže firemných a zákazníckych dát až po úplné ohrozenie kritickej infraštruktúry.
Tím otto-js vykonal testovanie a analýzu benchmarkov zameraných na sociálne médiá, kancelárske nástroje, zdravotníctvo, vládu, elektronický obchod a bankové/finančné služby. Viac ako 96 % z 30 testovaných kontrolných skupín poslalo údaje späť Microsoft a Google. 73 % testovaných stránok a skupín poslalo heslá na servery tretích strán, keď bola táto možnosť vybraná ukázať heslo. Tie stránky a služby, ktoré neposielali heslá, jednoducho túto funkciu nemali ukázať heslo a neboli nevyhnutne náležite chránené.
Kontaktoval sa tím otto-js Microsoft 365, Alibaba Cloud, Google Cloud, AWS a LastPass, čo je päť najvýznamnejších webov a poskytovateľov cloudových služieb, ktorí predstavujú najväčšie riziko pre podnikových zákazníkov. Podľa bezpečnostných aktualizácií spoločnosti AWS a LastPass už odpovedali a oznámili, že problém bol úspešne vyriešený.
Môžete pomôcť Ukrajine v boji proti ruským útočníkom. Najlepším spôsobom, ako to urobiť, je darovať finančné prostriedky Ozbrojeným silám Ukrajiny prostredníctvom Zachrániť život alebo cez oficiálnu stránku NBU.
Prečítajte si tiež:
Buďte pokojní, používajte Firefox
+