Την Παρασκευή, η ερευνητική ομάδα του otto-js δημοσίευσε ένα άρθρο που περιγράφει πώς οι χρήστες που χρησιμοποιούν το Google Chrome ή τις βελτιωμένες δυνατότητες ορθογραφίας του Microsoft Edge ενδέχεται να μεταδίδουν εν αγνοία τους κωδικούς πρόσβασης και πληροφορίες προσωπικής ταυτοποίησης (PII) σε διακομιστές τρίτων κατασκευαστών που βασίζονται σε cloud. Η ευπάθεια όχι μόνο θέτει σε κίνδυνο τις ιδιωτικές πληροφορίες του μέσου τελικού χρήστη, αλλά μπορεί επίσης να αφήσει εκτεθειμένα τα διαπιστευτήρια ενός οργανισμού και άλλες πληροφορίες που σχετίζονται με την υποδομή, σε μη εξουσιοδοτημένα μέρη.
Δείτε επίσης: Google Play Store: Θα παρέχει ratings/reviews με βάση τη συσκευή
Η ευπάθεια ανακαλύφθηκε από τον συνιδρυτή της otto-js και Chief Technical Officer (CTO), Josh Summit κατά τη δοκιμή των δυνατοτήτων ανίχνευσης συμπεριφοράς σεναρίου της εταιρείας. Κατά τη διάρκεια της δοκιμής, ο Summit και η ομάδα otto-js διαπίστωσαν ότι ο σωστός συνδυασμός λειτουργιών στον ενισχυμένο ορθογραφικό έλεγχο του Chrome ή στο MS Editor του Edge θα εκθέσει ακούσια δεδομένα που περιέχουν PII και άλλες ευαίσθητες πληροφορίες, στέλνοντάς τα πίσω στους διακομιστές της Microsoft και της Google. Και οι δύο λειτουργίες απαιτούν από τους χρήστες να προβούν σε ρητές ενέργειες για να τις ενεργοποιήσουν και όταν ενεργοποιηθούν, οι χρήστες συχνά δεν γνωρίζουν ότι τα δεδομένα τους κοινοποιούνται σε τρίτους.
Η ομάδα της otto-js ανακάλυψε επίσης ότι οι κωδικοί πρόσβασης χρηστών ενδέχεται να εκτίθενται μέσω της επιλογής προβολής κωδικού πρόσβασης. Η επιλογή, που προορίζεται να βοηθήσει τους χρήστες να διασφαλίσουν ότι οι κωδικοί πρόσβασης δεν έχουν πληκτρολογηθεί σωστά, εκθέτει κατά λάθος τον κωδικό πρόσβασης στους διακομιστές τρίτων, μέσω των βελτιωμένων λειτουργιών ορθογραφικού ελέγχου.
Δείτε ακόμα: Η Google ακυρώνει τα μισά έργα στην εσωτερική ομάδα Ε&Α Area 120
Η ευπάθεια μπορεί να έχει ως αποτέλεσμα την παραβίαση των διαπιστευτηρίων εταιρικών οργανισμών από μη εξουσιοδοτημένα τρίτα μέρη. Η ομάδα του otto-js παρείχε ορισμένα παραδείγματα για να δείξει πώς οι χρήστες που συνδέονται σε λογαριασμούς υπηρεσιών cloud και υποδομής, μπορούν να περάσουν εν αγνοία τους τα διαπιστευτήρια πρόσβασης του λογαριασμού τους στους διακομιστές της Microsoft ή της Google.
Αρχικά, κατά τη σύνδεση μέσω του Chrome, η λειτουργία βελτιωμένου ορθογραφικού ελέγχου μεταβιβάζει πληροφορίες αιτήματος σε διακομιστές που βασίζονται στην Google χωρίς εξουσιοδότηση διαχειριστή. Αυτές οι πληροφορίες αιτήματος περιλαμβάνουν τον πραγματικό κωδικό πρόσβασης που εισάγεται για τη σύνδεση στο cloud της εταιρείας. Η πρόσβαση σε αυτό το είδος πληροφοριών μπορεί να οδηγήσει σε κλεμμένα εταιρικά δεδομένα και δεδομένα πελατών, έως την πλήρη παραβίαση της υποδομής.
Δείτε επίσης: Πώς να αποκλείσετε ένα domain στο Microsoft Outlook
Η ομάδα του otto-js πραγματοποίησε δοκιμές και αναλύσεις σε ομάδες ελέγχου που επικεντρώθηκαν στα μέσα κοινωνικής δικτύωσης, τα εργαλεία γραφείου, την υγειονομική περίθαλψη, την κυβέρνηση, το ηλεκτρονικό εμπόριο και τις τραπεζικές/οικονομικές υπηρεσίες. Πάνω από το 96% των 30 ομάδων ελέγχου που δοκιμάστηκαν έστειλαν δεδομένα στη Microsoft και την Google. Το 73% αυτών των τοποθεσιών και των ομάδων που δοκιμάστηκαν έστειλαν κωδικούς πρόσβασης σε διακομιστές τρίτων όταν επιλέχθηκε η επιλογή εμφάνισης κωδικού πρόσβασης.
Η ομάδα της otto-js επικοινώνησε με τις Microsoft 365, Alibaba Cloud, Google Cloud, AWS και LastPass, που αντιπροσωπεύουν τους πέντε κορυφαίους ιστότοπους και παρόχους υπηρεσιών cloud που παρουσιάζουν τη μεγαλύτερη έκθεση σε κινδύνους στους εταιρικούς πελάτες τους. Σύμφωνα με τις ενημερώσεις της εταιρείας ασφαλείας, τόσο το AWS όσο και το LastPass έχουν ήδη ανταποκριθεί και ανέφεραν ότι το πρόβλημα μετριάστηκε με επιτυχία.
