安全團(tuán)隊(duì)警告：不要激活微軟 Edge / 谷歌 Chrome 瀏覽器增強(qiáng)拼寫檢查功能，會(huì)暴露密碼

IT之家 9 月 20 日消息，otto-js 安全團(tuán)隊(duì)最近的研究發(fā)現(xiàn)，正在由 Microsoft 編輯器和 Google Chrome 中增強(qiáng)的拼寫檢查設(shè)置檢查的數(shù)據(jù)分別被發(fā)送回 微軟和谷歌。這些數(shù)據(jù)包括了用戶名、電子郵件、DOB、SSN，以及基本上輸入到由這些功能檢查的文本框中的任何內(nèi)容。

作為附加說明，這些功能甚至可以發(fā)送密碼，但只有當(dāng)按下“顯示密碼”按鈕時(shí)，才能將密碼轉(zhuǎn)換為可見文本，然后對(duì)其進(jìn)行檢查。

關(guān)鍵問題圍繞敏感的用戶個(gè)人身份信息 (PII) 解決，這是訪問內(nèi)部數(shù)據(jù)庫和云基礎(chǔ)設(shè)施時(shí)企業(yè)憑據(jù)的關(guān)鍵問題。在 otto-js 分享的下圖中，可以看到用戶登錄到阿里云，然后他們的數(shù)據(jù)被分享給了谷歌。

一些公司已經(jīng)采取措施防止這種情況發(fā)生，AWS 和 LastPass 安全團(tuán)隊(duì)都確認(rèn)他們已經(jīng)通過更新緩解了這種情況。這個(gè)問題被稱為“拼寫劫持”。最令人擔(dān)憂的是，這些設(shè)置很容易被用戶啟用，并且可能導(dǎo)致數(shù)據(jù)泄露而沒有人意識(shí)到這一點(diǎn)。

IT之家獲悉，otto-js 的團(tuán)隊(duì)對(duì)不同行業(yè)的 30 個(gè)網(wǎng)站進(jìn)行了測(cè)試，發(fā)現(xiàn)其中 96.7% 的網(wǎng)站將帶有 PII 的數(shù)據(jù)發(fā)送回谷歌和微軟。

有趣的是，唯一減輕該組問題的網(wǎng)站是 Google 本身，但僅針對(duì)某些服務(wù)，而不是其所有經(jīng)過測(cè)試的產(chǎn)品。目前，otto-js 研究團(tuán)隊(duì)建議在此問題解決之前不要使用這些擴(kuò)展和設(shè)置。

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。