全球资讯：Chrome/Edge中拼写检查功能或导致用户个人信息失窃

(资料图)

otto-js 安全研究团队于本周五发布博文，概述了在未经用户许可且用户不知情的情况下， 黑客可以利用 Google Chrome 和 Microsoft Edge 浏览器中的增强拼写功能，将密码和个人身份信息 (PII) 传输到第三方基于云的服务器。

该漏洞不仅让普通最终用户的私人信息面临风险，而且还可能使组织的管理凭据和其他与基础设施相关的信息暴露给未经授权的各方。该漏洞是由 otto-js 联合创始人兼首席技术官乔什·施密特（Josh Summit）在测试公司的脚本行为检测能力时发现的。

在测试过程中，施密特和 otto-js 团队发现，在 Chrome 浏览器中的“增强拼写检查”和 Edge 浏览器的“MS Editor”中，正确组合功能会无意中暴露包含 PII 和其他敏感信息的字段数据，并将其发送回微软和Google服务器。这两个功能都要求用户采取明确的行动来启用它们，一旦启用，用户通常不会意识到他们的数据正在与第三方共享。

除了字段数据，otto-js 团队还发现用户密码可能会通过查看密码选项暴露。该选项旨在帮助用户确保密码不被错误键入，通过增强的拼写检查功能无意中将密码暴露给第三方服务器。

面临风险的并不仅仅只是个人用户。该漏洞可能导致企业组织的凭据被未经授权的第三方泄露。 otto-js 团队提供了以下示例，以展示登录云服务和基础架构帐户的用户如何在不知情的情况下将其帐户访问凭据传递给 Microsoft 或 Google 服务器。

关键词： 的情况下 未经授权 最终用户

推荐DIY文章

主机存在磨损或划痕风险 PICO4便携包宣布召回

穿越湖海！特斯拉Cybertruck电动皮卡可以当“船”用

vivoXFold+折叠旗舰开售 配备蔡司全焦段旗舰四摄

飞凡R7正式上市 全系标配换电架构

中兴Axon30S开售 拥有黑色蓝色两款配色

荣耀MagicBookV14 2022正式开售 搭载TOF传感器