欢迎参与评论,每一条合规评论都是对我们的褒奖。
请 登录 或 快速注册 后发表评论
最近有网络安全研究发现,像是Chrome以及Edge等浏览器可以通过改善拼写防能,无意间向第三方云端服务器发送用户的密码以及身份认证讯息(Personally identifiable information)。这个漏洞不但会让用户的隐私暴露在潜在危险中,同时对于公司组织的管理凭证以及网络基建相信讯息也有潜在影响。
这个漏洞是由网络安全公司otto-js的团队在测试其脚本行为侦测功能时发现。他们发现,Chrome的改善拼写检查功能及Edge的MS Editor在正确的组合功能之下,会无意中暴露包含身份认证讯息及其他敏感讯息的字段数据,同时把这些数据发回给微软或Google的服务器。
除了字段数据发,otto-js团队还发现浏览器中的“查看密码”功能会暴露用户的密码。这个功能本意是协助用户检查密码有没有拼错,然而改善拼写功能就可以把这些密码都暴露给第三方服务器。
otto-js团队也演示了一次怎样利用这个漏洞。以阿里云为例,当用户以Chrome登入时,改善拼写功能会在没有管碳员授权的情况下把请求发送到基于Google的服务器。这个请求当中就包括了用户实际上输入的密码。一旦不法份子获得这些讯息,就可以窃取公司或用户数据,甚至直接危及公司组织的网络基建架构。
otto-js团队最后也联系了微软365、阿里云、Google Cloud、AWS以及LastPass这几家著名云服务供货商,提醒他们相关的风险,而AWS以及LastPass随后表示已经成功解决了这个漏洞。