Am Freitag veröffentlichte das Forschungsteam von otto-js einen Artikel darüber, wie Benutzer die erweiterten Rechtschreibprüfungsfunktionen von Google Chrome oder verwenden Microsoft Edge kann unwissentlich Passwörter und persönlich identifizierbare Informationen (PII) an Cloud-Server von Drittanbietern übertragen. Diese Sicherheitslücke gefährdet nicht nur die privaten Daten des durchschnittlichen Endbenutzers, sondern kann auch dazu führen, dass die administrativen Anmeldeinformationen einer Organisation und andere infrastrukturbezogene Informationen für Außenstehende ungesichert bleiben.
Die Schwachstelle wurde von Josh Summit, Mitbegründer und CTO von otto-js, entdeckt, als er die Funktionen des Unternehmens zur Erkennung von Skriptverhalten testete. Während der Tests stellten Samit und das otto-js-Team fest, dass die richtige Kombination von Funktionen in der erweiterten Rechtschreibprüfung von Chrome oder im MS Editor in Edge unbeabsichtigt Felddaten offenlegte, die PII und andere vertrauliche Informationen enthielten, wenn sie an die Server zurückgesendet wurden Microsoft und Google. Beide Funktionen erfordern explizite Aktionen von Benutzern, um sie zu aktivieren, und wenn sie einmal aktiviert sind, bemerken Benutzer oft nicht, dass ihre Daten an Dritte weitergegeben werden.
Zusätzlich zu den Felddaten entdeckte das otto-js-Team auch, dass die Passwörter der Benutzer durch die Passwort-Viewer-Option offengelegt werden konnten. Diese Option, die Benutzern dabei hilft, die falsche Eingabe von Passwörtern zu vermeiden, macht das Passwort durch erweiterte Rechtschreibprüfungsfunktionen versehentlich für Server von Drittanbietern verfügbar.
Einzelne Benutzer sind nicht die einzigen gefährdeten Parteien. Die Sicherheitslücke könnte dazu führen, dass die Anmeldedaten des Unternehmens durch unbefugte Dritte kompromittiert werden. Das otto-js-Team stellte die folgenden Beispiele bereit, die zeigen, wie Benutzer, die bei Cloud-Diensten und Infrastrukturkonten angemeldet sind, ihre Anmeldeinformationen unwissentlich an Server übermitteln können Microsoft oder Google.
Das erste Bild (oben) zeigt ein Beispiel für die Anmeldung bei einem Alibaba Cloud-Konto. Wenn Sie sich über Chrome anmelden, sendet die erweiterte Rechtschreibprüfung Abfrageinformationen ohne Administratorberechtigung an Google-Server. Wie Sie im Screenshot (unten) sehen können, enthalten diese Informationen das eigentliche Passwort, das eingegeben wird, um sich bei der Cloud des Unternehmens anzumelden. Der Zugriff auf diese Art von Informationen kann zu allem Möglichen führen, vom Diebstahl von Unternehmens- und Kundendaten bis hin zur vollständigen Kompromittierung kritischer Infrastrukturen.
Das otto-js-Team führte Tests und Analysen von Benchmarks durch, die auf soziale Medien, Bürotools, Gesundheitswesen, Regierung, E-Commerce und Bank-/Finanzdienstleistungen abzielten. Über 96 % der 30 getesteten Kontrollgruppen schickten Daten zurück Microsoft und Google. 73 % der getesteten Websites und Gruppen sendeten Passwörter an Server von Drittanbietern, als diese Option ausgewählt wurde Passwort anzeigen. Diese Websites und Dienste, die keine Passwörter senden, hatten diese Funktion einfach nicht Passwort anzeigen und waren nicht unbedingt ausreichend geschützt.
Das otto-js-Team hat Kontakt aufgenommen Microsoft 365, Alibaba Cloud, Google Cloud, AWS und LastPass sind die fünf größten Websites und Cloud-Service-Anbieter, die das größte Risiko für Unternehmenskunden darstellen. Den Sicherheitsupdates des Unternehmens zufolge haben AWS und LastPass bereits reagiert und erklärt, dass das Problem erfolgreich behoben wurde.
Sie können der Ukraine helfen, gegen die russischen Invasoren zu kämpfen. Der beste Weg, dies zu tun, besteht darin, Gelder an die Streitkräfte der Ukraine zu spenden Das Leben retten oder über die offizielle Seite NBU.
Lesen Sie auch:
Bleib ruhig, benutze Firefox
+