如果你正在使用Edge和Chrome的增強拼寫檢查功能,那麼現在是時候放棄它們了,因為一份新報告顯示,該功能實際上可以將你的表格數據發送到擁有上述瀏覽器的科技巨頭那裡。
據名為otto-js的JavaScript安全公司披露稱,當Chrome的增強拼寫檢查功能和Edge的微軟編輯器拼寫和語法檢查器(Microsoft Editor Spelling & Grammar Checker)瀏覽器插件被用戶手動激活時就會發生這種情況。儘管如此,值得注意的是,這兩種瀏覽器都有自己的基本拼寫檢查器默認啟用,但它們不會構成安全風險,因為它們的行為與增強功能不同。
當激活后,這些功能可以向微軟和Google發送數據。傳送的信息取決於你在特定網站上填寫的表格,這意味着你分享的信息越多填寫的表格字段越多,在激活增強拼寫檢查功能時可能會向這些公司發送的數據越多。如你正在訪問的網站可能要求你提供個人身份信息(PII)像你的全名、家庭住址、電子郵件地址、社會安全號、護照號碼、駕駛執照號碼、信用卡號碼、出生日期等。更糟糕的是,你的密碼也可能被傳送到微軟和Google,根據otto-js研究小組的說法,稱這個過程為“拼寫劫持”。
“如果啟用‘顯示密碼’,那麼該功能甚至會將你的密碼發送到他們的第三方服務器上,”otto JavaScript Security的聯合創始人兼首席技術官Josh Summitt在測試該公司的腳本行為檢測時分享了這一發現,“在研究不同瀏覽器的數據泄漏時,我們發現了一個功能組合,一旦啟用將不必要地將敏感數據暴露給第三方如Google和微軟。令人擔憂的是,這些功能很容易啟用,而且大多數用戶會啟用這些功能而沒有真正意識到在後台發生了什麼。”
只要使用的是Edge和Chrome並且有它們的增強拼寫檢查功能,拼寫劫持就可能發生在所有網站上。為了證明這一點,otto-js分享了當他們使用員工憑證(特別是密碼)登錄公司的阿里巴巴雲賬戶時是如何發生的,這些憑證後來被發送到了Google。此外,otto-js還分享了一個視頻演示以展示拼寫劫持如何暴露公司的雲基礎設施–包括服務器、數據庫、公司電子郵件賬戶和密碼管理器。
“該視頻使用工作場所的一個常見場景來顯示啟用瀏覽器增強的拼寫檢查功能是一件多麼容易的事情以及員工如何在不知不覺中暴露公司的情況,”otto-js補充道,“大多數CISO在得知他們公司的管理證書在不知情的情況下被明文共享給第三方,甚至是他們普遍信任的第三方時會感到非常震驚。”
這家JavaScript安全公司還進一步強調了可能受到該問題影響的公司和服務的名稱。它包括阿里巴巴–雲服務、Office 365和Google雲–Secret Manager。AWS – Secrets Manager和LastPass一開始雖然也被列入名單,但otto-js表示,這兩家公司已經完全緩解了這個問題。
除了保持Chrome的增強拼寫檢查功能和Edge的微軟編輯器拼寫和語法檢查器瀏覽器插件不被觸動和停用之外,otto-js稱公司還可以通過增加“spellcheck=false”來防止拼寫劫持問題。
Otto-js建議道:“公司可以減輕分享客戶PII的風險–通過在所有輸入字段中添加’spellcheck=false’,儘管這可能給用戶帶來問題。或者你可以只把它添加到有敏感數據的表單字段。公司也可以刪除‘顯示密碼’的功能。這不會防止拼寫劫持,但它能防止用戶密碼被發送。公司還可以使用像otto-js這樣的客戶端安全軟件來監控和控制第三方腳本。”
這家安全公司表示,目前還不知道傳輸給微軟和Google的數據是否被儲存,也不知道它們是如何被管理的。微軟仍沒有對此發表任何評論,但Google發言人告訴BleepingComputer–“Google不會將其附加到任何用戶身份上,只是在服務器上臨時處理。”