瀏覽器提供了許多我們通常甚至不知道它們實際如何工作的功能。 其中之一是拼寫檢查系統,從理論上講,它有助於糾正拼寫錯誤。 然而,一家安全公司報告稱,該功能在 Google Chrome e 微軟邊緣 可以向兩家公司的服務器發送密碼和其他信息。
Edge 和 Chrome 功能暴露敏感數據
研究團隊的發現 奧托-JS,表明 Microsoft Edge Editor 和 Edge 的“改進的拼寫檢查” Chrome瀏覽器 能夠訪問登錄頁面、表單或任何可被這些修復功能解析的文本字段中輸入的數據。 這意味著姓名、電子郵件地址、出生日期和文件編號等信息都可以到達服務器。
測試後 腳本 除了功能之外,該公司還發現點擊“顯示密碼”按鈕(在多個頁面上顯示輸入的密碼)也會傳輸信息。 為了舉例說明並強調這些資源可能造成的損害,研究人員做了 登錄 在網站上 阿里巴巴雲 並意識到儘管 Google 和 Microsoft微軟 與此服務無關,兩家公司的服務器都收到了該帳戶的密碼。
根據 奧托-JS,這種類型的剝削,稱為 拼寫劫持,特別是影響雲服務和內部企業網絡的基礎設施,代表著嚴重的隱私和數據保護問題。
幸運的是,該公司已提醒市場上的一些主要站點/服務應用必要的修復程序。 LastPass的 e 亞馬遜網絡服務,例如,已經更改了代碼以防止經紀人訪問敏感文本區域。 辦公室365, 阿里巴巴雲 e 谷歌云秘密管理器 也已被告知,但尚未就更正發表聲明。
研究人員測試了 50 多個網站,並將其中 30 個網站分為六大類:網上銀行、雲工具、醫療保健、政府、社交媒體和電子商務。 在分析的 30 個頁面中,96,7% 將機密數據發送到谷歌和微軟服務器,而 73% 在點擊“顯示密碼”時傳輸了密碼。
如何阻止 拼寫劫持
A 奧托-JS 建議公司在所有文本字段(或僅在包含敏感信息的區域)中添加命令“spellcheck=false”,並刪除“顯示密碼”按鈕。 對於用戶而言,拼寫檢查器功能默認情況下未啟用,但如果您在某個時候啟用了它,請轉到您的瀏覽器設置並按照以下說明將其禁用:
- 在鉻: 點擊“Google Services and Sync”,向下滾動並關閉“Enhanced Spell Check”選項;
- 邊緣: 單擊左側菜單中的“語言”,然後在“使用寫作幫助”部分中禁用 Microsoft Editor。
另見:
了解更多關於秀美科技
註冊以透過電子郵件接收我們的最新消息。