V petek je raziskovalna skupina otto-js objavila članek o tem, kako uporabniki z naprednimi funkcijami za preverjanje črkovanja Google Chroma oz. Microsoft Edge lahko nevede posreduje gesla in podatke, ki omogočajo osebno identifikacijo (PII), strežnikom v oblaku tretjih oseb. Ne samo, da ta ranljivost ogroža zasebne podatke povprečnega končnega uporabnika, ampak lahko tudi pusti skrbniške poverilnice organizacije in druge informacije, povezane z infrastrukturo, nezavarovane za tujce.
Ranljivost je odkril soustanovitelj otto-js in tehnični direktor Josh Summit med preizkušanjem zmožnosti podjetja za odkrivanje vedenja skriptov. Med testiranjem sta Samit in ekipa otto-js ugotovila, da prava kombinacija funkcij v Chromovem izboljšanem črkovalniku ali urejevalniku MS Editor v Edgeu nenamerno razkrije podatke polja, ki vsebujejo PII in druge občutljive podatke, ko jih pošlje nazaj strežnikom. Microsoft in Google. Obe funkciji zahtevata izrecna dejanja uporabnikov, da ju omogočijo, in ko sta omogočeni, uporabniki pogosto ne vedo, da se njihovi podatki delijo s tretjimi osebami.
Poleg podatkov na terenu je ekipa otto-js odkrila tudi, da je mogoče uporabniška gesla razkriti prek možnosti pregledovalnika gesel. Ta možnost, ki bo uporabnikom pomagala preprečiti napačno vnašanje gesel, nenamerno izpostavi geslo strežnikom tretjih oseb prek naprednih funkcij za preverjanje črkovanja.
Posamezni uporabniki niso edina ogrožena stran. Ranljivost lahko povzroči, da nepooblaščene tretje osebe ogrozijo poverilnice podjetja. Ekipa otto-js je zagotovila naslednje primere, ki prikazujejo, kako lahko uporabniki, prijavljeni v storitve v oblaku in infrastrukturne račune, nevede posredujejo svoje poverilnice strežnikom Microsoft ali Google.
Prva slika (zgoraj) prikazuje primer prijave v račun Alibaba Cloud. Ko se prijavite prek Chroma, funkcija naprednega preverjanja črkovanja pošlje podatke o poizvedbi Googlovim strežnikom brez skrbniškega dovoljenja. Kot lahko vidite na posnetku zaslona (spodaj), te informacije vključujejo dejansko geslo, ki se vnese za prijavo v oblak podjetja. Dostop do tovrstnih informacij lahko povzroči karkoli, od kraje podatkov podjetja in strank do popolnega ogrožanja kritične infrastrukture.
Ekipa otto-js je izvedla testiranje in analizo meril uspešnosti, ki ciljajo na družbene medije, pisarniška orodja, zdravstvo, vlado, e-trgovino in bančne/finančne storitve. Več kot 96 % od 30 testiranih kontrolnih skupin je poslalo podatke nazaj Microsoft in Google. 73 % testiranih spletnih mest in skupin je poslalo gesla strežnikom tretjih oseb, ko je bila izbrana možnost Pokaži geslo. Tista spletna mesta in storitve, ki niso pošiljala gesel, preprosto niso imela te funkcije Pokaži geslo in niso bili nujno ustrezno zaščiteni.
Kontaktirala je ekipa otto-js Microsoft 365, Alibaba Cloud, Google Cloud, AWS in LastPass, ki so pet najboljših spletnih mest in ponudnikov storitev v oblaku, ki predstavljajo največje tveganje za poslovne stranke. Glede na varnostne posodobitve podjetja sta se AWS in LastPass že odzvala in povedala, da je bila težava uspešno odpravljena.
Lahko pomagate Ukrajini v boju proti ruskim okupatorjem. Najboljši način za to je donacija sredstev oboroženim silam Ukrajine prek Savelife ali preko uradne strani NBU.
Preberite tudi:
Bodi miren, uporabljaj Firefox
+