谷歌瀏覽器和 Microsoft Edge

Chrome 和 Edge 拼寫檢查器可以竊取密碼

瓦格納·佩德羅頭像
安全公司發現 Chrome 和 Edge 代理中存在的功能會將敏感數據發送到谷歌和微軟服務器

瀏覽器提供了許多我們通常甚至不知道它們實際如何工作的功能。 其中之一是拼寫檢查系統,從理論上講,它有助於糾正拼寫錯誤。 然而,一家安全公司報告稱,該功能在 Google Chrome e 微軟邊緣 可以向兩家公司的服務器發送密碼和其他信息。

Edge 和 Chrome 功能暴露敏感數據

研究團隊的發現 奧托-JS,表明 Microsoft Edge Editor 和 Edge 的“改進的拼寫檢查” Chrome瀏覽器 能夠訪問登錄頁面、表單或任何可被這些修復功能解析的文本字段中輸入的數據。 這意味著姓名、電子郵件地址、出生日期和文件編號等信息都可以到達服務器。

測試後 腳本 除了功能之外,該公司還發現點擊“顯示密碼”按鈕(在多個頁面上顯示輸入的密碼)也會傳輸信息。 為了舉例說明並強調這些資源可能造成的損害,研究人員做了 登錄 在網站上 阿里巴巴雲 並意識到儘管 Google Microsoft微軟 與此服務無關,兩家公司的服務器都收到了該帳戶的密碼。

阿里巴巴雲頁面拼寫劫持
拼寫劫持 在阿里雲頁面上(圖片來源:Otto-JS)

根據 奧托-JS,這種類型的剝削,稱為 拼寫劫持,特別是影響雲服務和內部企業網絡的基礎設施,代表著嚴重的隱私和數據保護問題。

幸運的是,該公司已提醒市場上的一些主要站點/服務應用必要的修復程序。 LastPass的 e 亞馬遜網絡服務,例如,已經更改了代碼以防止經紀人訪問敏感文本區域。 辦公室365, 阿里巴巴雲 e 谷歌云秘密管理器 也已被告知,但尚未就更正發表聲明。

操作 拼寫劫持 以某種形式

研究人員測試了 50 多個網站,並將其中 30 個網站分為六大類:網上銀行、雲工具、醫療保健、政府、社交媒體和電子商務。 在分析的 30 個頁面中,96,7% 將機密數據發送到谷歌和微軟服務器,而 73% 在點擊“顯示密碼”時傳輸了密碼。

如何阻止 拼寫劫持

A 奧托-JS 建議公司在所有文本字段(或僅在包含敏感信息的區域)中添加命令“spellcheck=false”,並刪除“顯示密碼”按鈕。 對於用戶而言,拼寫檢查器功能默認情況下未啟用,但如果您在某個時候啟用了它,請轉到您的瀏覽器設置並按照以下說明將其禁用:

  • 在鉻: 點擊“Google Services and Sync”,向下滾動並關閉“Enhanced Spell Check”選項;
  • 邊緣: 單擊左側菜單中的“語言”,然後在“使用寫作幫助”部分中禁用 Microsoft Editor。

另見:

8 個隱私應用程序將提高您的在線安全性.

豐特斯: GizChina, 奧托-Js.


了解更多關於秀美科技

註冊以透過電子郵件接收我們的最新消息。

發表評論

您的電子郵件地址將不會被發表。 必填字段標有 *

相關文章