Microsoft Edge 的拼字檢查器和 Chrome 的增強拼字檢查器會將您鍵入的敏感資料(包括密碼)傳送至 Google 和 Microsoft 伺服器。
Otto-JS 安全研究團隊發現 Microsoft 編輯器微軟邊緣以及內建的改進的拼字檢查器谷歌瀏覽器在 Google 和 Microsoft 伺服器上共用您的個人資料。
具體來說,在這些拼字檢查器可以分析的文字欄位中輸入的所有內容,無論是登入頁面還是表單,都會發送給這兩家美國巨頭。這可能包括名字和姓氏、電子郵件地址、出生日期、社會安全號碼等。這些拼字檢查器可以分析的所有文字欄位都會受到影響。如果這只是一半令人驚訝,那麼接下來發生的事情就會變得更可怕。事實上,Otto-JS 團隊發現情況更糟。
透過測試腳本的行為,該公司的管理人員發現,當他們點擊按鈕顯示剛剛輸入的密碼時,該密碼也會被發送到Google和微軟的伺服器。
「令人擔憂的是啟用這些功能的難易程度,以及大多數用戶啟用這些功能時並沒有真正意識到後台發生了什麼。 »Otto-JS 聯合創始人在該公司發布的新聞稿中表示。
事實上,如果 Microsoft 編輯器是必須由使用者在 Edge 中自願安裝的擴充程序,那麼 Chrome 改進的拼字檢查器則不是這種情況,它本機整合到瀏覽器中。
為了說明這些擴展可能帶來的危險,Otto-JS 團隊提供了一個雄辯的演示。該公司發布的螢幕截圖顯示,當用戶連接到阿里雲時,他們的密碼會被發送到Google的伺服器。不過,該服務與Google或微軟無關。這種漏洞被 Otto-JS 稱為“拼字劫持”,可以轉移到任何釘子基礎設施或內部公司網路。
Otto-JS 向該行業的幾家巨頭披露了這一漏洞的存在,並已幫助其中幾家巨頭糾正了這種情況。例如,負責 Amazon Web Services 或密碼管理器 LastPass 安全的團隊就是這種情況。他們的安全團隊已經修復了應用程式的程式碼,以防止拼字檢查器分析包含敏感資料的文字欄位。
來源 : 奧托-JS
