เครื่องตรวจตัวสะกดของ Microsoft Edge และเครื่องตรวจตัวสะกดที่ได้รับการปรับปรุงของ Chrome จะส่งข้อมูลละเอียดอ่อนที่คุณพิมพ์ รวมถึงรหัสผ่านของคุณ ไปยังเซิร์ฟเวอร์ของ Google และ Microsoft
ทีมวิจัยด้านความปลอดภัย Otto-JS ค้นพบว่า Microsoft Editor เปิดอยู่ไมโครซอฟต์ เอดจ์และเครื่องตรวจตัวสะกดที่ได้รับการปรับปรุงในตัวกูเกิลโครมแบ่งปันข้อมูลส่วนบุคคลของคุณบนเซิร์ฟเวอร์ของ Google และ Microsoft
โดยสรุปแล้ว เนื้อหาทั้งหมดที่ป้อนในช่องข้อความที่สามารถวิเคราะห์ได้โดยเครื่องตรวจตัวสะกด ไม่ว่าจะเป็นหน้าเข้าสู่ระบบหรือแบบฟอร์ม จะถูกส่งไปยังยักษ์ใหญ่ในอเมริกาทั้งสองราย ซึ่งอาจรวมถึงชื่อและนามสกุล ที่อยู่อีเมล วันเกิด หมายเลขประกันสังคม ฯลฯ ช่องข้อความทั้งหมดที่สามารถวิเคราะห์โดยเครื่องตรวจตัวสะกดเหล่านี้จะได้รับผลกระทบ หากสิ่งนี้น่าประหลาดใจเพียงครึ่งเดียว สิ่งที่เกิดขึ้นต่อไปจะยิ่งน่ากลัวยิ่งขึ้น แท้จริงแล้ว ทีม Otto-JS พบว่าแย่กว่านั้นมาก
จากการทดสอบพฤติกรรมของสคริปต์ ผู้จัดการของบริษัทพบว่าเมื่อพวกเขาคลิกปุ่มเพื่อแสดงรหัสผ่านที่พวกเขาเพิ่งป้อน รหัสผ่านจะถูกส่งไปยังเซิร์ฟเวอร์ของ Google และ Microsoft ด้วย
“สิ่งที่น่ากังวลคือความง่ายในการเปิดใช้งานคุณสมบัติเหล่านี้ และความจริงที่ว่าผู้ใช้ส่วนใหญ่จะเปิดใช้งานโดยไม่ได้ตระหนักถึงสิ่งที่เกิดขึ้นในเบื้องหลังจริงๆ -ผู้ร่วมก่อตั้ง Otto-JS กล่าวในการแถลงข่าวที่เผยแพร่โดยบริษัท
อันที่จริง หาก Microsoft Editor เป็นส่วนขยายที่ผู้ใช้ต้องติดตั้งโดยสมัครใจใน Edge นี่ไม่ใช่กรณีของการตรวจตัวสะกดที่ได้รับการปรับปรุงของ Chrome ซึ่งรวมเข้ากับเบราว์เซอร์โดยกำเนิด
เพื่อแสดงให้เห็นถึงอันตรายที่ส่วนขยายเหล่านี้สามารถเป็นตัวแทนได้ ทีมงาน Otto-JS ได้จัดให้มีการสาธิตที่มีคารมคมคาย ภาพหน้าจอที่เผยแพร่โดยบริษัทแสดงให้เห็นว่าเมื่อผู้ใช้เชื่อมต่อกับ Alibaba Cloud รหัสผ่านจะถูกส่งไปยังเซิร์ฟเวอร์ของ Google อย่างไรก็ตาม บริการนี้ไม่มีส่วนเกี่ยวข้องกับ Google หรือ Microsoft การละเมิดนี้ซึ่งมีชื่อว่า "Spell-jacking" โดย Otto-JS สามารถถ่ายโอนไปยังโครงสร้างพื้นฐานของเล็บหรือเครือข่ายภายในองค์กรได้
Otto-JS ซึ่งเปิดเผยการมีอยู่ของการละเมิดนี้ให้ยักษ์ใหญ่หลายรายในภาคนี้ ได้เปิดทางให้หลายบริษัทสามารถแก้ไขสถานการณ์ได้ นี่เป็นกรณี เช่น ของทีมที่รับผิดชอบด้านความปลอดภัยที่ Amazon Web Services หรือผู้จัดการรหัสผ่าน LastPass ทีมรักษาความปลอดภัยของพวกเขาได้แก้ไขโค้ดของแอปพลิเคชันเพื่อป้องกันไม่ให้เครื่องตรวจตัวสะกดวิเคราะห์ช่องข้อความที่มีข้อมูลที่ละเอียดอ่อน
🔴 เพื่อไม่พลาดข่าวสาร 01net ติดตามเราได้ที่Google ข่าวสารetวอทส์แอพพ์-
แหล่งที่มา : อ็อตโต-JS
