Την Παρασκευή, η ερευνητική ομάδα του otto-js δημοσίευσε ένα άρθρο σχετικά με τον τρόπο με τον οποίο οι χρήστες χρησιμοποιούν τις προηγμένες λειτουργίες ορθογραφικού ελέγχου του Google Chrome ή Microsoft Edge, ενδέχεται να μεταδώσει εν αγνοία τους κωδικούς πρόσβασης και πληροφορίες προσωπικής ταυτοποίησης (PII) σε διακομιστές cloud τρίτων. Αυτή η ευπάθεια όχι μόνο θέτει σε κίνδυνο τις ιδιωτικές πληροφορίες του μέσου τελικού χρήστη, αλλά μπορεί επίσης να αφήσει μη ασφαλή τα διαχειριστικά διαπιστευτήρια ενός οργανισμού και άλλες πληροφορίες που σχετίζονται με την υποδομή σε τρίτους.
Η ευπάθεια ανακαλύφθηκε από τον συνιδρυτή της otto-js και CTO Josh Summit κατά τη δοκιμή των δυνατοτήτων ανίχνευσης συμπεριφοράς σεναρίων της εταιρείας. Κατά τη διάρκεια της δοκιμής, ο Samit και η ομάδα otto-js διαπίστωσαν ότι ο σωστός συνδυασμός λειτουργιών στον βελτιωμένο ορθογραφικό έλεγχο του Chrome ή στο MS Editor στο Edge εξέθεσε κατά λάθος δεδομένα πεδίου που περιέχουν PII και άλλες ευαίσθητες πληροφορίες όταν αποστέλλονται πίσω στους διακομιστές Microsoft και Google. Και οι δύο λειτουργίες απαιτούν σαφείς ενέργειες από τους χρήστες για να τις ενεργοποιήσουν και όταν ενεργοποιηθούν, οι χρήστες συχνά δεν γνωρίζουν ότι τα δεδομένα τους κοινοποιούνται σε τρίτα μέρη.
Εκτός από τα δεδομένα πεδίου, η ομάδα otto-js ανακάλυψε επίσης ότι οι κωδικοί πρόσβασης των χρηστών μπορούσαν να αποκαλυφθούν μέσω της επιλογής προβολής κωδικών πρόσβασης. Αυτή η επιλογή, η οποία θα βοηθήσει τους χρήστες να αποφύγουν την εσφαλμένη εισαγωγή κωδικών πρόσβασης, εκθέτει κατά λάθος τον κωδικό πρόσβασης σε διακομιστές τρίτων μέσω προηγμένων λειτουργιών ορθογραφικού ελέγχου.
Οι μεμονωμένοι χρήστες δεν είναι το μόνο μέρος που κινδυνεύει. Η ευπάθεια θα μπορούσε να έχει ως αποτέλεσμα την παραβίαση των εταιρικών διαπιστευτηρίων από μη εξουσιοδοτημένα τρίτα μέρη. Η ομάδα otto-js παρείχε τα ακόλουθα παραδείγματα που δείχνουν πώς οι χρήστες που είναι συνδεδεμένοι σε υπηρεσίες cloud και λογαριασμούς υποδομής μπορούν εν αγνοία τους να μεταδώσουν τα διαπιστευτήριά τους σε διακομιστές Microsoft ή Google.
Η πρώτη εικόνα (παραπάνω) δείχνει ένα παράδειγμα σύνδεσης σε λογαριασμό Alibaba Cloud. Όταν συνδέεστε μέσω του Chrome, η δυνατότητα προηγμένου ορθογραφικού ελέγχου στέλνει πληροφορίες ερωτημάτων στους διακομιστές της Google χωρίς άδεια διαχειριστή. Όπως μπορείτε να δείτε στο στιγμιότυπο οθόνης (παρακάτω), αυτές οι πληροφορίες περιλαμβάνουν τον πραγματικό κωδικό πρόσβασης που εισάγεται για να συνδεθείτε στο cloud της εταιρείας. Η πρόσβαση σε αυτού του είδους τις πληροφορίες μπορεί να οδηγήσει σε οτιδήποτε, από την κλοπή εταιρικών και δεδομένων πελατών έως τον πλήρη συμβιβασμό της υποδομής ζωτικής σημασίας.
Η ομάδα της otto-js πραγματοποίησε δοκιμές και αναλύσεις σε σημεία αναφοράς που στοχεύουν τα μέσα κοινωνικής δικτύωσης, τα εργαλεία γραφείου, την υγειονομική περίθαλψη, την κυβέρνηση, το ηλεκτρονικό εμπόριο και τις τραπεζικές/οικονομικές υπηρεσίες. Πάνω από το 96% από τις 30 ομάδες ελέγχου που δοκιμάστηκαν έστειλαν δεδομένα πίσω Microsoft και Google. Το 73% των δοκιμασμένων τοποθεσιών και ομάδων έστειλαν κωδικούς πρόσβασης σε διακομιστές τρίτων όταν επιλέχθηκε η επιλογή Δείξε τον κωδικό. Αυτοί οι ιστότοποι και οι υπηρεσίες που δεν έστειλαν κωδικούς πρόσβασης απλώς δεν είχαν τη δυνατότητα Δείξε τον κωδικό και δεν προστατεύονταν απαραίτητα κατάλληλα.
Η ομάδα του otto-js επικοινώνησε Microsoft 365, Alibaba Cloud, Google Cloud, AWS και LastPass, οι οποίοι είναι οι πέντε κορυφαίοι ιστότοποι και πάροχοι υπηρεσιών cloud που αποτελούν τον μεγαλύτερο κίνδυνο για τους εταιρικούς πελάτες. Σύμφωνα με τις ενημερώσεις ασφαλείας της εταιρείας, το AWS και το LastPass έχουν ήδη ανταποκριθεί και είπαν ότι το πρόβλημα έχει επιλυθεί με επιτυχία.
Μπορείτε να βοηθήσετε την Ουκρανία να πολεμήσει ενάντια στους Ρώσους εισβολείς. Ο καλύτερος τρόπος για να γίνει αυτό είναι να δωρίσετε χρήματα στις Ένοπλες Δυνάμεις της Ουκρανίας μέσω Savelife ή μέσω της επίσημης σελίδας NBU.
Διαβάστε επίσης:
Μείνετε ήρεμοι, χρησιμοποιήστε Firefox
+