Функции проверки орфографии в Chrome и Edge отображают вашу личную информацию

В Google Chrome и Microsoft Edge была обнаружена серьезная уязвимость, позволяющая передавать личную информацию, включая пароли, в виде открытого текста третьим лицам.

как таковой сообщает TechRadar.уязвимость была обнаружена компанией otto-js, занимающейся безопасностью JavaScript, и называется «заклинание травли. «Проблема возникает из-за использования расширенных функций проверки правописания в Chrome и редакторе Microsoft Edge, которые пользователь может включить, но по умолчанию они отключены. В случае Microsoft Editor это принимает форму добавление Вам нужно установить.

При включении пользователю сообщается, что данные будут отправлены в Google и Microsoft. Это типично, поскольку всем компаниям нравится собирать статистику использования и данные, чтобы помочь улучшить работу функции. Однако в этом случае личная информация, введенная пользователем в любом из браузеров, также передается в виде открытого текста. Это может включать ваше имя пользователя, пароль, адрес электронной почты, дату рождения, номер социального страхования, платежные реквизиты, список можно продолжить.

Как объясняет Джош Саммит, соучредитель и главный технический директор otto-js, в случае расширенной проверки орфографии Chrome: «Если включен параметр «Показать пароль», эта функция отправляет ваш пароль на сторонние серверы. браузерах, эта функция отправляет ваш пароль на сторонние серверы. Различные, мы обнаружили набор функций, которые после включения будут без необходимости раскрывать конфиденциальные данные третьим сторонам, таким как Google и Microsoft. Беспокойство заключается в том, насколько легко включить эти функции и что большинство пользователей активируют эти функции, даже не осознавая, что происходит в фоновом режиме».

Компания Otto-js составила список пяти основных онлайн-сервисов, используемых корпоративными компаниями, подверженных риску этой уязвимости. К ним относятся Office 365, облачный сервис Alibaba, Google Cloud Secret Manager, AWS Secret Manager и LastPass. Однако AWS и LastPass уже решили эту проблему. Google смягчил это для некоторых своих сервисов, но не для всех.

Здесь рискуют не только корпоративные пользователи. Otto-js выбрал более 50 веб-сайтов и разделил их на шесть категорий, охватывающих онлайн-банкинг, здравоохранение, социальные сети, электронную коммерцию, инструменты облачного офиса и правительство. Обнаружено, что 96,7% из них отправляют личные данные в Google и Microsoft, когда включены расширенные функции. 73% отправили им ваш пароль, когда нажали кнопку «Показать пароль».

Уолтер Хоэн, вице-президент по инженерным вопросам компании otto-js, отметил: «Одна из самых интересных вещей в этом типе воздействия заключается в том, что оно возникает в результате непреднамеренного взаимодействия двух полезных, по отдельности, функций для пользователей. Улучшенные функции проверки орфографии развиваются в Chrome и Edge – это большое обновление стандартных методов на основе словаря. Точно так же веб-сайты, которые предоставляют возможность отображать пароли в виде открытого текста, более удобны в использовании, особенно для людей с ограниченными возможностями. А когда они используются вместе, происходит фактическое отображение пароля. .»

Если вы не включите эти расширенные функции в Chrome или Edge, ваши личные данные не будут переданы. Если у вас есть разрешение Отключить функцию в Chrome или же Удаление надстройки Edge Рекомендуется до тех пор, пока проблема не будет устранена. И Google, и Microsoft были проинформированы об уязвимости в этих расширенных функциях.