Webbläsare erbjuder många funktioner som vi ofta inte ens vet hur de faktiskt fungerar. En av dem är stavningskontrollsystemet som i teorin hjälper till att rätta till stavfel. Ett säkerhetsföretag rapporterade dock att denna funktion in Google Chrome e Microsoft Edge kan skicka lösenord och annan information till båda företagens servrar.
Edge och Chrome-funktionen avslöjar känslig data
Upptäckten, gjord av forskargruppen av Otto-JS, visade att Microsoft Edge Editor och Edges "Förbättrad stavningskontroll" krom kan få tillgång till data som skrivs in på inloggningssidor, formulär eller vilket textfält som helst som kan analyseras av dessa korrigeringsfunktioner. Det innebär att till exempel namn, e-postadresser, födelsedatum och dokumentnummer kan nå servrarna.
Efter att ha testat skript Förutom funktionalitet upptäckte företaget också att genom att klicka på knappen "visa lösenord", som finns på flera sidor för att visa det inskrivna lösenordet, också överförs informationen. För att exemplifiera och belysa den skada som dessa resurser kan orsaka gjorde forskarna logga in på webbplatsen för Alibaba Cloud och insåg att trots Google och Microsoft eftersom de inte hade någon koppling till den här tjänsten fick båda företagens servrar lösenordet för kontot.
Enligt Otto-JS, denna typ av exploatering, kallas trollfångare, påverkar särskilt infrastrukturen för molntjänster och interna företagsnätverk, vilket representerar ett allvarligt problem med sekretess och dataskydd.
Lyckligtvis har företaget larmat några av de stora sajterna/tjänsterna på marknaden för att tillämpa de nödvändiga korrigeringarna. Lastpass e Amazon Web Services, till exempel, har redan ändrat sin kod för att hindra mäklare från att komma åt känsliga textområden. office 365, Alibaba Cloud e Google Cloud Secret Manager har också underrättats, men har ännu inte lämnat något uttalande om rättelse.
Forskarna testade mer än 50 webbplatser och delade in 30 av dem i sex kategorier som ofta används av olika personer: internetbanker, molnverktyg, sjukvård, myndigheter, sociala medier och e-handel. Av de 30 analyserade sidorna skickade 96,7 % konfidentiell data till Googles och Microsofts servrar, medan 73 % överförde lösenord när de klickade på "visa lösenord".
Hur man blockerar trollfångare
A Otto-JS rekommenderar att företag lägger till kommandot ”stavningskontroll=falskt” i alla textfält (eller bara i områden med känslig information) och tar bort knappen ”visa lösenord”. När det gäller användare är stavningskontrollen inte aktiverad som standard, men om du har aktiverat den någon gång, gå till din webbläsarinställningar och följ instruktionerna nedan för att inaktivera den:
- I Chrome: klicka på "Google Services and Sync", scrolla ner och stäng av alternativet "Förbättrad stavningskontroll";
- På kanten: klicka på "Språk" i menyn till vänster och inaktivera Microsoft Editor i avsnittet "Använd skrivhjälp".
Veja também:
