(资料图)
otto-js 安全研究团队于本周五发布博文,概述了在未经用户许可且用户不知情的情况下, 黑客可以利用 Google Chrome 和 Microsoft Edge 浏览器中的增强拼写功能,将密码和个人身份信息 (PII) 传输到第三方基于云的服务器。
该漏洞不仅让普通最终用户的私人信息面临风险,而且还可能使组织的管理凭据和其他与基础设施相关的信息暴露给未经授权的各方。该漏洞是由 otto-js 联合创始人兼首席技术官乔什·施密特(Josh Summit)在测试公司的脚本行为检测能力时发现的。
在测试过程中,施密特和 otto-js 团队发现,在 Chrome 浏览器中的“增强拼写检查”和 Edge 浏览器的“MS Editor”中,正确组合功能会无意中暴露包含 PII 和其他敏感信息的字段数据,并将其发送回微软和Google服务器。这两个功能都要求用户采取明确的行动来启用它们,一旦启用,用户通常不会意识到他们的数据正在与第三方共享。
除了字段数据,otto-js 团队还发现用户密码可能会通过查看密码选项暴露。该选项旨在帮助用户确保密码不被错误键入,通过增强的拼写检查功能无意中将密码暴露给第三方服务器。
面临风险的并不仅仅只是个人用户。该漏洞可能导致企业组织的凭据被未经授权的第三方泄露。 otto-js 团队提供了以下示例,以展示登录云服务和基础架构帐户的用户如何在不知情的情况下将其帐户访问凭据传递给 Microsoft 或 Google 服务器。