Перевірка правопису в Chrome і Edge викрадає ваші паролі

Коли ви пишете конфіденційну інформацію, як-от паролі, засоби перевірки правопису в браузерах Edge і Chrome надсилають її на сервери Google і Microsoft.

Редактор Microsoft у Microsoft Edge і вдосконалена вбудована перевірка орфографії в Google Chrome обмінюються вашою особистою інформацією з серверами Google і Microsoft, згідно з дослідницькою групою Otto-JS.

Конкретно, незалежно від того, чи це сторінка входу, чи форма, будь-який матеріал, введений у текстове поле, яке може бути перевірено цими засобами перевірки правопису, пересилається до двох американських гігантів. Імена та прізвища, адреси електронної пошти, дати народження, номери соціального страхування тощо можуть бути частиною. Усі текстові поля, які можуть перевіряти ці засоби перевірки орфографії, включені до цього. Якщо це не шокує, наступне може виявитися ще страшнішим. Насправді команда Otto-JS виявила набагато гірше.

Функція перевірки орфографії в Chrome та Edge розкриває ваші дані та паролі

Менеджери компанії перевірили функціональність своїх скриптів і виявили, що натискання кнопки для показу щойно введеного пароля також передає його на сервери Google і Microsoft.

«Те, що викликає занепокоєння, це те, наскільки легко активувати ці функції, і що більшість користувачів активують їх, не усвідомлюючи, що відбувається у фоновому режимі» – йдеться у заяві співзасновника Otto-JS .

На відміну від розширеної перевірки орфографії Chrome, яка доступна за замовчуванням у браузері. Редактор Microsoft в Edge — це розширення, яке користувач має добровільно встановити.

Команда Otto-JS розробила потужний приклад, щоб підкреслити потенційну шкоду, яку можуть завдати ці розширення. Згідно зі скриншотами, наданими компанією, коли користувач підключається до Alibaba Cloud, сервери Google отримують його пароль. Але ні Google, ні Microsoft не пов’язані з цією службою. Цей експлойт, який Otto-JS називає «Spell jacking», може вплинути на будь-яку хмарну інфраструктуру або внутрішню корпоративну мережу.

Otto-JS допоміг деяким гігантам сектора внести необхідні виправлення після того, як поінформував їх про наявність порушення. Це вірно, наприклад, для команд, відповідальних за менеджер паролів LastPass. І безпека Amazon Web Services. Служба безпеки вносила гарячі модифікації коду програми, щоб запобігти доступу засобів перевірки орфографії до текстових областей, що містять конфіденційну інформацію.

У наступному відео ви можете перевірити, як вимкнути розширену перевірку правопису в браузері Google Chrome.

What’s your Reaction?
Cool
2
Cool
Happy
0
Happy
Shaking
0
Shaking
Interesting
0
Interesting
Sad
0
Sad
Angry
0
Angry
Читайте Gizchina в Google News

Сподобалась стаття? Подякуй редакції!

Джерело
Поділитися з друзями
Оцініть автора
( 1 оцінка, середнє 3 з 5 )
GizChina.Com.Ua

Проверка правописания в Chrome и Edge похищает ваши пароли

Когда вы пишете конфиденциальную информацию, например пароли, средства проверки правописания в браузерах Edge и Chrome отправляют ее на серверы Google и Microsoft.

Редактор Microsoft в Microsoft Edge и усовершенствованная встроенная проверка орфографии в Google Chrome обмениваются вашей личной информацией с серверами Google и Microsoft, согласно исследовательской группе Otto-JS.

Конкретно, независимо от того, страница входа или форма, любой материал, введенный в текстовое поле, которое может быть проверено этими средствами проверки правописания, пересылается к двум американским гигантам. Имена и фамилии, адреса электронной почты, даты рождения, номера социального страхования могут быть частью. Все текстовые поля, которые могут проверять эти методы проверки орфографии, включены в это. Если это не шокирует, следующее может оказаться страшнее. На самом деле, команда Otto-JS обнаружила гораздо худшее.

Функция проверки орфографии в Chrome и Edge раскрывает ваши данные и пароли

Менеджеры компании проверили функциональность своих скриптов и обнаружили, что нажатие кнопки для показа только что введенного пароля также передает его на серверы Google и Microsoft.

«То, что вызывает беспокойство, это то, насколько легко активировать эти функции, и что большинство пользователей активируют их, не осознавая, что происходит в фоновом режиме», – говорится в заявлении соучредителя Otto-JS.

В отличие от расширенной проверки орфографии Chrome, доступной по умолчанию в браузере. Редактор Microsoft в Edge – это расширение, которое пользователь должен добровольно установить.

Команда Otto-JS разработала мощный пример, чтобы подчеркнуть потенциальный ущерб, который могут нанести эти расширения. Согласно скриншотам, предоставленным компанией, когда пользователь подключается к Alibaba Cloud, серверы Google получают его пароль. Но ни Google, ни Microsoft не связаны с этой службой. Этот эксплойт, который Otto-JS называет Spell jacking, может повлиять на любую облачную инфраструктуру или внутреннюю корпоративную сеть.

Otto-JS помог некоторым гигантам сектора внести необходимые поправки после того, как проинформировал их о наличии нарушения. Это верно, например, для команд, ответственных за менеджер паролей LastPass. И сохранность Amazon Web Services. Служба безопасности вносила горячие модификации кода программы, чтобы предотвратить доступ средств проверки орфографии в текстовые области, содержащие конфиденциальную информацию.

В следующем видео можно проверить, как отключить расширенную проверку правописания в браузере Google Chrome.

What’s your Reaction?
Cool
1
Cool
Happy
1
Happy
Shaking
0
Shaking
Interesting
0
Interesting
Sad
0
Sad
Angry
0
Angry
Читайте Gizchina в Google News

Сподобалась стаття? Подякуй редакції!

Джерело
Поділитися з друзями

Мене завжди цікавили IT-технології. І оскільки моя попередня багаторічна професійна діяльність (а це дизайн і додрукарська підготовка) неможлива без їх допомоги, то так вийшло, що всім, що було пов'язано з комп'ютерами (наприклад, збиранням і модернізацією "заліза", а також налаштуванням софта) мені завжди доводилося займатися самому.

Ну, а з появою в нашому житті гаджетів, сфера моїх інтересів розширилася й на них теж.

Люблю вивчати та аналізувати можливості різних пристроїв, і вже багато років, перш ніж придбати що-небудь нове, завжди дуже довго і ретельно вивчаю можливості кожної з потенційних моделей, проводжу досить тривалу і копітку роботу, читаю огляди, відгуки та порівняння.

Нагородою за витрачений час зазвичай є те, що найчастіше я дійсно отримую найкраще з того, що можна взяти в рамках запланованого мною бюджету.

Оцініть автора
( 1 оцінка, середнє 3 з 5 )
GizChina.Com.Ua