بررسی املایی مبتنی بر مرورگر از Google و Microsoft می تواند منجر به سرقت PII شود

از

این آسیب‌پذیری توسط بنیانگذار otto-js و مدیر ارشد فنی (CTO) جاش سامیت در حین آزمایش قابلیت‌های تشخیص رفتار اسکریپت این شرکت کشف شد. در طول آزمایش، Summit و تیم otto-js دریافتند که ترکیب مناسب ویژگی‌ها در بررسی املای پیشرفته کروم یا ویرایشگر MS Edge به طور ناخواسته داده‌های میدانی حاوی PII و سایر اطلاعات حساس را در معرض نمایش قرار می‌دهد و آن‌ها را به سرورهای مایکروسافت و گوگل باز می‌فرستد. هر دوی این ویژگی‌ها از کاربران می‌خواهند که اقدامات صریح برای فعال کردن آن‌ها انجام دهند، و پس از فعال شدن، کاربران اغلب از اشتراک‌گذاری داده‌هایشان با اشخاص ثالث آگاه نیستند.

ماست سر: ذره بین توسط Agence Olloweb; اسکرین شات های آسیب پذیری توسط otto-js.



منبع

از طریق شیشه نگاه: در روز جمعه، تیم تحقیقاتی otto-js مقاله‌ای منتشر کرد که نشان می‌دهد چگونه کاربرانی که از ویژگی‌های املایی پیشرفته Google Chrome یا Microsoft Edge استفاده می‌کنند، ممکن است ندانسته گذرواژه‌ها و اطلاعات شناسایی شخصی (PII) را به سرورهای مبتنی بر ابر شخص ثالث منتقل کنند. این آسیب پذیری نه تنها اطلاعات خصوصی کاربر نهایی را در معرض خطر قرار می دهد، بلکه می تواند اعتبار اداری سازمان و سایر اطلاعات مربوط به زیرساخت را در معرض اشخاص غیرمجاز قرار دهد.

علاوه بر داده‌های میدانی، تیم otto-js همچنین کشف کرد که رمزهای عبور کاربر ممکن است از طریق مشاهده رمز عبور گزینه. گزینه ای که برای کمک به کاربران در حصول اطمینان از اینکه گذرواژه ها به درستی کلید نمی خورند، به طور ناخواسته رمز عبور را از طریق توابع بررسی املای پیشرفته در اختیار سرورهای شخص ثالث قرار می دهد.

کاربران فردی تنها طرف هایی نیستند که در معرض خطر هستند. این آسیب‌پذیری می‌تواند منجر به به خطر افتادن اعتبار سازمان‌های شرکتی توسط اشخاص ثالث غیرمجاز شود. تیم otto-js مثال‌های زیر را ارائه کرد تا نشان دهد چگونه کاربرانی که وارد سرویس‌های ابری و حساب‌های زیرساختی می‌شوند می‌توانند اعتبار دسترسی به حساب خود را ناآگاهانه به سرورهای مایکروسافت یا Google منتقل کنند.

تصویر اول (بالا) نمونه ای از ورود به حساب کاربری Alibaba Clout را نشان می دهد. هنگام ورود به سیستم از طریق Chrome، عملکرد غلط املای پیشرفته اطلاعات درخواست را بدون مجوز سرپرست به سرورهای مبتنی بر Google ارسال می کند. همانطور که در تصویر زیر مشاهده می کنید، این اطلاعات درخواست شامل رمز عبور واقعی است که برای ورود به سیستم ابری شرکت وارد شده است. دسترسی به این نوع اطلاعات می‌تواند منجر به هر چیزی شود، از اطلاعات شرکت‌ها و مشتریان به سرقت رفته تا به خطر افتادن کامل زیرساخت‌های حیاتی.

تیم otto-js آزمایش و تجزیه و تحلیل را در بین گروه‌های کنترل متمرکز بر رسانه‌های اجتماعی، ابزارهای اداری، مراقبت‌های بهداشتی، دولت، تجارت الکترونیک و خدمات بانکی/مالی انجام داد. بیش از 96 درصد از 30 گروه کنترل آزمایش شده، داده ها را به مایکروسافت و گوگل ارسال کردند. 73 درصد از آن سایت ها و گروه های آزمایش شده رمز عبور را به سرورهای شخص ثالث ارسال کردند نمایش رمز عبور گزینه انتخاب شد آن سایت‌ها و سرویس‌هایی که نبودند، آن‌هایی بودند که به سادگی فاقد آن بودند نمایش رمز عبور عملکرد داشتند و لزوماً به درستی کاهش نیافته بودند.

تیم otto-js با Microsoft 365، Alibaba Cloud، Google Cloud، AWS و LastPass تماس گرفت که نشان دهنده پنج سایت برتر و ارائه دهندگان خدمات ابری هستند که بیشترین ریسک را برای مشتریان شرکتی خود ارائه می دهند. طبق به‌روزرسانی‌های شرکت امنیتی، هم AWS و هم LastPass قبلاً پاسخ داده‌اند و نشان داده‌اند که مشکل با موفقیت برطرف شده است.