otto-js 安全研究團隊於本周五發布博文,概述了在未經用戶許可且用戶不知情的情況下,黑客可以利用 Google Chrome 和 Microsoft Edge 瀏覽器中的增強拼寫功能,將密碼和個人身份信息 (PII) 傳輸到第三方基於雲的服務器。
![[圖]Chrome/Edge中拼寫檢查功能或導致用戶個人信息失竊](https://dailyclipper.s3.ap-northeast-1.amazonaws.com/wp-content/uploads/2022/09/20220919_6327e18619493.webp)
![[圖]Chrome/Edge中拼寫檢查功能或導致用戶個人信息失竊](https://dailyclipper.net/wp-content/themes/justnews/themer/assets/images/lazy.png)
![[圖]Chrome/Edge中拼寫檢查功能或導致用戶個人信息失竊](https://dailyclipper.s3.ap-northeast-1.amazonaws.com/wp-content/uploads/2022/09/20220919_6327e18718eb3.webp)
該漏洞不僅讓普通最終用戶的私人信息面臨風險,而且還可能使組織的管理憑據和其他與基礎設施相關的信息暴露給未經授權的各方。該漏洞是由 otto-js 聯合創始人兼首席技術官喬什·施密特(Josh Summit)在測試公司的腳本行為檢測能力時發現的。
在測試過程中,施密特和 otto-js 團隊發現,在 Chrome 瀏覽器中的“增強拼寫檢查”和 Edge 瀏覽器的“MS Editor”中,正確組合功能會無意中暴露包含 PII 和其他敏感信息的字段數據,並將其發送回微軟和Google服務器。這兩個功能都要求用戶採取明確的行動來啟用它們,一旦啟用,用戶通常不會意識到他們的數據正在與第三方共享。
除了字段數據,otto-js 團隊還發現用戶密碼可能會通過查看密碼選項暴露。該選項旨在幫助用戶確保密碼不被錯誤鍵入,通過增強的拼寫檢查功能無意中將密碼暴露給第三方服務器。
面臨風險的並不僅僅只是個人用戶。該漏洞可能導致企業組織的憑據被未經授權的第三方泄露。 otto-js 團隊提供了以下示例,以展示登錄雲服務和基礎架構帳戶的用戶如何在不知情的情況下將其帳戶訪問憑據傳遞給 Microsoft 或 Google 服務器。