بررسی املای کلمات توسط مرورگرها می‌تواند منجر به سرقت اطلاعات شود

چکیده خبر

تیم تحقیقاتی otto-js مقاله‌ای منتشر کرد که نشان می‌دهد چگونه کاربرانی که از ویژگی‌های املایی پیشرفته گوگل کروم یا مایکروسافت اج استفاده می‌کنند، ممکن است ندانسته گذرواژه‌ها و اطلاعات شناسایی شخصی (PII) را به سرورهای مبتنی بر ابر شخص ثالث منتقل کنند. این آسیب‌پذیری نه تنها اطلاعات خصوصی کاربر نهایی را در معرض خطر قرار می‌دهد، بلکه می‌تواند اعتبار اداری سازمان و سایر اطلاعات مربوط به زیرساخت را در معرض اشخاص غیرمجاز قرار دهد.

این آسیب‌پذیری توسط جاش سامیت، بنیانگذار و مدیر ارشد فنی (CTO) شرکت otto-js در حین آزمایش قابلیت‌های تشخیص رفتار اسکریپت این شرکت کشف شد. در طول آزمایش، سامیت و تیم otto-js دریافتند که ترکیب مناسب ویژگی‌ها در بررسی املای پیشرفته کروم یا ویرایشگر MS Edge، اطلاعات حساس را به طور ناخواسته در معرض نمایش قرار می‌دهد و آن‌ها را به سرورهای مایکروسافت و گوگل ارسال می‌کند.

هر دوی این مرورگرها از کاربران می‌خواهند که دسترسی لازم را برای فعال کردن آن‌ها ارائه دهند و پس از فعال شدن، کاربران اغلب از اشتراک‌گذاری داده‌هایشان با سرورهای شخص ثالث آگاه نیستند.

علاوه بر داده‌های میدانی، تیم otto-js همچنین دریافته است که رمزهای عبور کاربر ممکن است از طریق گزینه view password در معرض قرار بگیرند. گزینه‌ای که برای کمک به کاربران در حصول اطمینان از اینکه گذرواژه‌ها به اشتباه کلید نخورده‌اند، به طور ناخواسته رمز عبور را از طریق توابع بررسی املا در معرض دید سرورهای شخص ثالث قرار می‌دهد.

کاربران شخصی تنها کسانی نیستند که در معرض خطر هستند. این آسیب‌پذیری می‌تواند منجر به به خطر افتادن اعتبار سازمان‌ها توسط اشخاص ثالث غیرمجاز شود. تیم otto-js مثال‌های زیر را ارائه کرد تا نشان دهد چگونه کاربرانی که وارد سرویس‌های ابری و حساب‌های زیرساختی می‌شوند، می‌توانند اعتبار دسترسی به حساب خود را ناآگاهانه به سرورهای مایکروسافت یا گوگل منتقل کنند.

تصویر اول (بالا) نمونه ای از ورود به حساب کاربری علی بابا کلود را نشان می دهد. هنگام ورود از طریق کروم، عملکرد بررسی املای پیشرفته اطلاعات درخواست را بدون مجوز سرپرست به سرورهای گوگل ارسال می‌کند. همانطور که در تصویر زیر مشاهده می‌کنید، این اطلاعات درخواست شامل رمز عبور واقعی است که برای ورود به سیستم ابری شرکت وارد شده است. دسترسی به این نوع اطلاعات می‌تواند منجر به هر چیزی شود، از سرقت اطلاعات شرکت‌ها و مشتریان گرفته تا به خطر افتادن کامل زیرساخت‌های حیاتی.

نشت اطلاعات شخصی در مرورگر گوگل کروم و مایکروسافت اج

تیم otto-js آزمایش و تجزیه و تحلیل را در بین گروه‌های کنترل متمرکز بر رسانه‌های اجتماعی، ابزارهای اداری، مراقبت‌های بهداشتی، دولت، تجارت الکترونیک و خدمات بانکی/مالی انجام داد. بیش از 96 درصد از 30 گروه کنترل آزمایش شده، داده‌ها را به مایکروسافت و گوگل ارسال کردند. 73 درصد از آن سایت‌های آزمایش شده زمانی پسوردهایی را به سرورهای شخص ثالث ارسال کردند که گزینه نمایش رمز عبور توسط کاربر انتخاب شد. تیم otto-js با مایکروسافت 365، علی بابا کلود، گوگل کلود، AWS و LastPass تماس گرفت که نشان‌دهنده پنج سایت برتر و ارائه‌دهندگان خدمات ابری هستند که بیشترین ریسک را برای مشتریان شرکتی خود ارائه می‌دهند. طبق به‌روزرسانی‌های شرکت امنیتی، AWS و LastPass به این مشکل پاسخ داده و نشان داده‌اند که مشکل با موفقیت برطرف شده است.