Otto-JS 安全研究团队发现 Microsoft 编辑器以及内置的改进的拼写检查器在 Google 和 Microsoft 服务器上共享您的个人数据。
具体来说,在这些拼写检查器可以分析的文本字段中输入的所有内容,无论是登录页面还是表单,都会发送给这两家美国巨头。这可能包括名字和姓氏、电子邮件地址、出生日期、社会安全号码等。这些拼写检查器可以分析的所有文本字段都会受到影响。如果这只是一半令人惊讶,那么接下来发生的事情就会变得更可怕。事实上,Otto-JS 团队发现情况更糟。
通过测试脚本的行为,该公司的经理发现,通过单击按钮显示他们刚刚输入的密码,该密码也会被发送到谷歌和微软的服务器。
“令人担忧的是启用这些功能的难易程度,以及大多数用户启用这些功能时并没有真正意识到后台发生了什么。”Otto-JS 联合创始人在该公司发布的新闻稿中表示。
事实上,如果 Microsoft 编辑器是必须由用户在 Edge 中自愿安装的扩展程序,那么 Chrome 改进的拼写检查器则不是这种情况,它本机集成到浏览器中。
为了说明这些扩展可能带来的危险,Otto-JS 团队提供了一个雄辩的演示。该公司发布的屏幕截图显示,当用户连接到阿里云时,他们的密码会被发送到谷歌的服务器。不过,该服务与谷歌或微软无关。这种漏洞被 Otto-JS 称为“拼写劫持”,可以转移到任何钉子基础设施或内部公司网络。
Otto-JS 向该行业的几家巨头披露了这一漏洞的存在,并已帮助其中几家巨头纠正了这种情况。例如,负责 Amazon Web Services 或密码管理器 LastPass 安全的团队就是这种情况。他们的安全团队已经修复了应用程序的代码,以防止拼写检查器分析包含敏感数据的文本字段。
来源 : 奥托-JS
