週五,otto-js 研究團隊發表了一篇文章,介紹用戶如何使用 Google Chrome 或 Google Chrome 的高級拼字檢查功能 Microsoft Edge 可能會在不知情的情況下將密碼和個人識別資訊 (PII) 傳輸到第三方雲端伺服器。此漏洞不僅使普通最終用戶的私人資訊面臨風險,而且還可能使組織的管理憑證和其他基礎設施相關資訊對外部人員不安全。
這個漏洞是 otto-js 聯合創始人兼 CTO Josh Summit 在測試公司腳本行為偵測能力時發現的。在測試過程中,Samit 和 otto-js 團隊發現,Chrome 增強型拼字檢查器或 Edge 中的 MS 編輯器中功能的正確組合在發送回伺服器時無意中暴露了包含 PII 和其他敏感資訊的欄位數據 Microsoft 和谷歌。這兩個功能都需要用戶進行明確的操作才能啟用,一旦啟用,用戶通常不知道他們的資料正在與第三方共用。
除了字段數據,otto-js 團隊還發現用戶的密碼可以通過密碼查看器選項顯示。 此選項將幫助用戶避免輸入錯誤的密碼,通過高級拼寫檢查功能無意中將密碼暴露給第三方服務器。
個人使用者並不是唯一面臨風險的族群。該漏洞可能會導致公司憑證被未經授權的第三方洩露。 otto-js 團隊提供了以下範例,展示了登入雲端服務和基礎架構帳戶的使用者如何在不知不覺中將其憑證傳輸到伺服器 Microsoft 或谷歌。
第一張圖(上圖)顯示了登錄阿里雲帳戶的示例。 當您通過 Chrome 登錄時,高級拼寫檢查功能會在未經管理員許可的情況下將查詢信息發送到 Google 服務器。 正如您在屏幕截圖(下圖)中看到的那樣,此信息包括為登錄公司雲而輸入的實際密碼。 訪問此類信息可能會導致從公司和客戶數據被盜到關鍵基礎設施完全受損的任何事情。
otto-js 團隊對社群媒體、辦公室工具、醫療保健、政府、電子商務和銀行/金融服務的基準進行了測試和分析。在接受測試的 96 個對照組中,超過 30% 的人將數據傳回 Microsoft 和谷歌。選擇該選項後,73% 的測試網站和群組將密碼傳送到第三方伺服器 顯示密碼. 那些沒有發送密碼的網站和服務根本沒有這個功能 顯示密碼 並且不一定得到適當的保護。
otto-js 團隊聯繫 Microsoft 365、阿里雲、Google雲端、AWS和LastPass是對企業客戶構成最大風險的前五名網站和雲端服務供應商。根據該公司的安全更新,AWS和LastPass已經做出回應並表示該問題已成功修復。
你可以幫助烏克蘭對抗俄羅斯侵略者。 最好的方法是通過以下方式向烏克蘭武裝部隊捐款 拯救生命 或通過官方頁面 NBU.
另請閱讀:
保持冷靜,使用火狐
+