浏览器拼写检查或会泄露用户密码,特别是在云端服务器上使用时

最近有网络安全研究发现,像是Chrome以及Edge等浏览器可以通过改善拼写防能,无意间向第三方云端服务器发送用户的密码以及身份认证讯息(Personally identifiable information)。这个漏洞不但会让用户的隐私暴露在潜在危险中,同时对于公司组织的管理凭证以及网络基建相信讯息也有潜在影响。

这个漏洞是由网络安全公司otto-js的团队在测试其脚本行为侦测功能时发现。他们发现,Chrome的改善拼写检查功能及Edge的MS Editor在正确的组合功能之下,会无意中暴露包含身份认证讯息及其他敏感讯息的字段数据,同时把这些数据发回给微软或Google的服务器。

除了字段数据发,otto-js团队还发现浏览器中的“查看密码”功能会暴露用户的密码。这个功能本意是协助用户检查密码有没有拼错,然而改善拼写功能就可以把这些密码都暴露给第三方服务器。

otto-js团队也演示了一次怎样利用这个漏洞。以阿里云为例,当用户以Chrome登入时,改善拼写功能会在没有管碳员授权的情况下把请求发送到基于Google的服务器。这个请求当中就包括了用户实际上输入的密码。一旦不法份子获得这些讯息,就可以窃取公司或用户数据,甚至直接危及公司组织的网络基建架构。

otto-js团队最后也联系了微软365、阿里云、Google Cloud、AWS以及LastPass这几家著名云服务供货商,提醒他们相关的风险,而AWS以及LastPass随后表示已经成功解决了这个漏洞。

版权声明:

作者: freeclashnode

链接: https://www.freeclashnode.com/news/article-3716.htm

来源: FreeClashNode

文章版权归作者所有,未经允许请勿转载。

免费节点实时更新

热门文章

最新文章

归档