Google Chrome ve Microsoft Edge Web tarayıcılarındaki genişletilmiş yazım deneti özellikleri, kişisel olarak tanımlanabilir bilgiler (PII) ve bazı durumlarda parolalar dahil olmak üzere Form verilerini sırasıyla Google ve Microsoft'a iletir.
Bu, bu web tarayıcılarının bilinen ve amaçlanan bir özelliği olsa da, iletimden sonra verilere ne olacağı ve özellikle şifre alanları söz konusu olduğunda uygulamanın ne kadar güvenli olabileceği konusunda endişeleri artırır.
Temel yazım denetçileri ile hem Chrome hem de Edge Gemi etkinleştirildi. Ancak, kullanıcı tarafından manuel olarak etkinleştirildiğinde Chrome'un Geliştirilmiş Yazım Konturvası veya Microsoft Editor gibi özellikler, bu potansiyel gizlilik riskini sergileyin.
Chrome ve Edge gibi ana web tarayıcılarını kullanırken, form verileriniz sırasıyla Google ve Microsoft'a iletilir.
Ziyaret ettiğiniz web sitesine bağlı olarak, form verilerinin kendisi PII'yi içerebilir - ancak Sosyal Güvenlik Numaraları (SSN'ler)/Sosyal Sigorta Numaraları (günahlar), isim, adres, e -posta, doğum tarihi (DOB), iletişim bilgileri, iletişim bilgileri dahil olabilir. Banka ve ödeme bilgileri vb.
JavaScript güvenlik firması Otto-JS'nin kurucu ortağı Josh Summitt, şirketinin senaryo davranışları tespitini test ederken bu sorunu keşfetti.
Chrome geliştirilmiş yazım denetimi veya Edge'in Microsoft Editor'un (yazım denetçisi) etkinleştirildiği durumlarda, bu tarayıcıların form alanlarına girilen "temelde herhangi bir şey" Google ve Microsoft'a iletildi.
Bir blog yayınında, "Ayrıca," Şifreyi Göster "e tıklarsanız, geliştirilmiş yazım denetimi şifrenizi bile gönderir, aslında verilerinizi yazarak," diye açıklıyor Otto-Js bir blog yazısında.
"Dünyanın en büyük web sitelerinden bazıları, kullanıcılar giriş yaparken veya formları doldururken kullanıcı adı, e -posta ve şifreler de dahil olmak üzere Google ve Microsoft'a duyarlı kullanıcı PII'yi göndermeye maruz kalıyor. Şirketler için daha da önemli bir endişe, bunun sunduğu pozlama. Şirketin veritabanları ve bulut altyapısı gibi iç varlıklara yönelik işletme bilgilerine. "
Kullanıcılar genellikle kopyalama parolalarına izin verilmediği sitelerdeki "Parolayı Göster" seçeneğine güvenebilirler, örneğin veya yanlış yazdıklarından şüphelendiklerinde.
Göstermek için Otto-JS, Chrome Web tarayıcısındaki Alibaba 'bulut platformunda kimlik bilgileri giren bir kullanıcının örneğini paylaştı-ancak bu gösteri için herhangi bir web sitesi kullanılabilir.
Gelişmiş yazım denetimi etkinken ve kullanıcının "Şifre Göster" özelliğine dokunduğunu varsayarak, kullanıcı adı ve şifre dahil form alanları googleapis.com adresinden Google'a iletilir.
Şirket tarafından bir video gösterisi de paylaşıldı:
BleepingComputer ayrıca, şunları ziyaret etmek için Chrome'u kullanarak testlerimizde Google'a iletildiğini gözlemledi:
Form alanlarının iletimi HTTP'ler üzerinde güvenli bir şekilde gerçekleşse de, bu örnekte Google'ın sunucusu, üçüncü tarafa ulaştıktan sonra kullanıcı verilerine ne olduğu konusunda anlaşılmaz bir şekilde açık olmayabilir.
Bir Google sözcüsü BleepingComputer'a onayladı. Bu, varsayılan olarak Chrome'da etkinleştirilen ve Google'a veri iletmeyen temel yazım denetçisinin aksine olduğunu unutmayın.
Krom tarayıcınızda geliştirilmiş yazım denetimi etkin olup olmadığını incelemek için, adres çubuğunuzdaki aşağıdaki bağlantıyı kopyalayın. Daha sonra açmayı veya kapatmayı seçebilirsiniz:
Ekran görüntüsünde görüldüğü gibi, özelliğin açıklaması, geliştirilmiş yazım denetimi etkinleştirildiğinde, "Tarayıcıda yazdığınız metin Google'a gönderildiğini" belirtmektedir.
"Kullanıcı tarafından yazılan metin hassas kişisel bilgiler olabilir ve Google bunu herhangi bir kullanıcı kimliğine eklemez ve yalnızca sunucuda geçici olarak işler. Kullanıcı gizliliğini daha da sağlamak için şifreleri proaktif olarak yazım denetinden hariç tutmaya çalışacağız," Google'ın ifadesinde devam etti.
"Güvenlik topluluğu ile işbirliğini takdir ediyoruz ve her zaman kullanıcı gizliliğini ve hassas bilgileri daha iyi korumanın yollarını arıyoruz."
Edge gelince, Microsoft Editor Secreting & Gramer Checker, bu davranışın gerçekleşmesi için açıkça yüklenmesi gereken bir tarayıcı eklentisidir.
BleepingComputer, yayınlamadan önce Microsoft'a önceden ulaştı. Konunun üzerine bakıldığı söylendi ama henüz duymadık.
Otto -JS, "Spell -Jacking" saldırı vektörünü adlandırdı ve Office 365, Alibaba Cloud, Google Cloud - Gizli Yönetici, Amazon AWS - Sırlar Yöneticisi ve LastPass gibi bulut hizmetlerinin kullanıcıları için endişe duydu.
Otto-JS'nin raporuna tepki olarak, hem AWS hem de LastPass konuyu azalttı. LastPass durumunda, şifre alanına basit bir HTML özniteliği yazım denetimi = "false" eklenerek çare ulaşıldı:
Form metni giriş alanlarından dışarıda bırakıldığında 'yazım denetleme' html özniteliği genellikle web tarayıcılarının varsayılan olarak doğru olduğu varsayılır. 'Yazım denetimi' açıkça FALSE olarak ayarlanmış bir giriş alanı, bir web tarayıcısının yazım denetleyicisi aracılığıyla işlenmez.
"Şirketler, tüm girdi alanlarına 'yazım denetimi = false' ekleyerek müşterilerinin PII'yi paylaşma riskini azaltabilir, ancak bu kullanıcılar için sorunlar yaratabilir," diye açıklıyor Otto -JS, artık kullanıcılar artık değinmeyecek Yazım denetçisi olsa da girilen metinlerini çalıştırmak için.
"Alternatif olarak, bunu sadece hassas verilere sahip form alanlarına ekleyebilirsiniz. Şirketler de 'şifre gösterme' yeteneğini de kaldırabilir. Bu, yazım krikoyu önlemez, ancak kullanıcı şifrelerinin gönderilmesini önleyecektir. "
İronik bir şekilde, Twitter'ın "Şifreyi Göster" seçeneğiyle birlikte gelen oturum açma formunun, şifre alanının "yazım denetimi" HTML özniteliğinin açıkça true olarak ayarlandığını gözlemledik:
Ek bir koruma olarak, Chrome ve Edge kullanıcıları gelişmiş yazım kontrolünü kapatabilir (yukarıda belirtilen adımları izleyerek) veya her iki şirket de şifreler gibi hassas alanların işlenmesini hariç tutmak için genişletilmiş yazım kontrollerini revize edene kadar Microsoft Düzenleyici eklentisini kenardan kaldırabilir.
1,4 milyon kurulum içeren krom uzantıları, göz atma verilerini çalın
Github Arktik Kasası muhtemelen sızdırılmış Meddata Hasta Kayıtları içerir
Bu Windscribe VPN Pro Deal ile gizliliğinizi koruyun
Apple, IOS 16'yı kilitle, güvenlik kontrolü güvenlik özellikleriyle yayınladı
En iyi web sitelerinin% 80'inden fazlası kullanıcı arayışlarını reklamverenlere sızdırmaz
Kaynak: Bleeping Computer