Интернет-магазин MagazinWeb

Chrome, расширенные функции проверки правописания Edge раскрывают вашу личную информацию Оставить комментарий

Любая личная информация, которую вы вводите (включая пароли), может быть раскрыта и предоставлена ​​другим пользователям, если включены эти расширенные функции правописания и грамматики.

Chrome, расширенные функции проверки правописания Edge раскрывают вашу личную информацию

В Google Chrome и Microsoft Edge была обнаружена серьезная уязвимость, которая позволяет передавать личную информацию, включая пароли, в виде открытого текста третьим лицам.

Как сообщает TechRadar (открывается в новом окне), уязвимость была обнаружена фирмой по безопасности JavaScript otto-js и называется «Взлом орфографии (открывается в новом окне)». Проблема связана с использованием функций расширенной проверки орфографии Chrome и редактора Microsoft Edge, которые пользователь может включить, но по умолчанию они отключены. В случае редактора Microsoft он представляет собой надстройку (открывается в новом окне), которую необходимо установить.

Когда они включены, пользователю сообщается, что данные будут отправлены в Google и Microsoft. Это типично, поскольку всем компаниям нравится собирать статистику использования и данные, чтобы помочь улучшить работу функции. Однако в этом случае личная информация, вводимая пользователем в любой из браузеров, также передается в открытом виде. Это может включать имя пользователя, пароль, адрес электронной почты, дату рождения, номер социального страхования, платежные данные и т. д.

Как объясняет Джош Саммит, соучредитель и технический директор otto-js, в случае расширенной проверки орфографии Chrome: «Если включена функция «показать пароль», эта функция даже отправляет ваш пароль на их сторонние серверы. При поиске утечек данных в разных браузерах мы обнаружили комбинацию функций, которые после включения будут без необходимости раскрывать конфиденциальные данные третьим сторонам, таким как Google и Microsoft. Что беспокоит, так это то, насколько легко включить эти функции, и что большинство пользователей включают эти функции, даже не осознавая, что происходит в фоновом режиме».

Otto-js перечислил пять основных онлайн-сервисов, используемых корпоративными компаниями, которые подвержены риску из-за этой уязвимости в системе безопасности. Среди них Office 365, облачный сервис Alibaba, Google Cloud Secret Manager, AWS Secret Manager и LastPass. Однако и AWS, и LastPass уже устранили проблему. Google устранил эту проблему для некоторых, но не для всех своих служб.

Однако здесь рискуют не только корпоративные пользователи. Otto-js отобрал более 50 веб-сайтов и разделил их на шесть категорий, охватывающих онлайн-банкинг, здравоохранение, социальные сети, электронную коммерцию, инструменты облачного офиса и правительство. Было обнаружено, что 96,7% из них отправляют личные данные в Google и Microsoft при включении расширенных функций. 73% отправили им ваш пароль, когда была выбрана опция «показать пароль».

Как изменить веб-браузер по умолчанию Как передать ваши пароли после смерти Как создать надежный генератор паролей

Уолтер Хён, вице-президент по инженерным вопросам компании otto-js, отметил: «Одна из самых интересных вещей в этом типе воздействия заключается в том, что оно вызвано непреднамеренным взаимодействием между двумя функциями, которые по отдельности полезны для пользователей. Усовершенствованная проверка орфографии функции в Chrome и Edge предлагают значительное обновление по сравнению со стандартными методами на основе словаря. Точно так же веб-сайты, которые предоставляют возможность отображения паролей в открытом виде, более удобны в использовании, особенно для людей с ограниченными возможностями. Когда они используются вместе, фактическое раскрытие пароля происходит.”

Если вы не включили эти расширенные функции в Chrome или Edge, ваши личные данные не будут переданы. Если у вас есть, рекомендуется отключить эту функцию в Chrome (открывается в новом окне) или удалить надстройку в Edge (откроется в новом окне), пока проблема не будет устранена. И в Google, и в Microsoft сообщили об уязвимости в системе безопасности, связанной с этими расширенными функциями.

Что такое менеджер паролей и зачем он мне нужен?

Добавить комментарий

Ваш адрес email не будет опубликован.