安全團隊警告：不要激活微軟 Edge / 谷歌 Chrome 瀏覽器增強拼寫檢查功能，會暴露密碼

IT之家 9 月 20 日消息，otto-js 安全團隊最近的研究發(fā)現(xiàn)，正在由 Microsoft 編輯器和 Google Chrome 中增強的拼寫檢查設置檢查的數(shù)據(jù)分別被發(fā)送回 微軟和谷歌。這些數(shù)據(jù)包括了用戶名、電子郵件、DOB、SSN，以及基本上輸入到由這些功能檢查的文本框中的任何內(nèi)容。

作為附加說明，這些功能甚至可以發(fā)送密碼，但只有當按下“顯示密碼”按鈕時，才能將密碼轉(zhuǎn)換為可見文本，然后對其進行檢查。

關(guān)鍵問題圍繞敏感的用戶個人身份信息 (PII) 解決，這是訪問內(nèi)部數(shù)據(jù)庫和云基礎(chǔ)設施時企業(yè)憑據(jù)的關(guān)鍵問題。在 otto-js 分享的下圖中，可以看到用戶登錄到阿里云，然后他們的數(shù)據(jù)被分享給了谷歌。

一些公司已經(jīng)采取措施防止這種情況發(fā)生，AWS 和 LastPass 安全團隊都確認他們已經(jīng)通過更新緩解了這種情況。這個問題被稱為“拼寫劫持”。最令人擔憂的是，這些設置很容易被用戶啟用，并且可能導致數(shù)據(jù)泄露而沒有人意識到這一點。

IT之家獲悉，otto-js 的團隊對不同行業(yè)的 30 個網(wǎng)站進行了測試，發(fā)現(xiàn)其中 96.7% 的網(wǎng)站將帶有 PII 的數(shù)據(jù)發(fā)送回谷歌和微軟。

有趣的是，唯一減輕該組問題的網(wǎng)站是 Google 本身，但僅針對某些服務，而不是其所有經(jīng)過測試的產(chǎn)品。目前，otto-js 研究團隊建議在此問題解決之前不要使用這些擴展和設置。

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。