روز جمعه، گروه تحقیقاتی otto-js مقاله ای درباره نحوه استفاده کاربرانی که از ویژگی های پیشرفته غلط گیر املای گوگل کروم یا گوگل کروم استفاده می کنند منتشر کرد. Microsoft Edge، ممکن است ندانسته گذرواژهها و اطلاعات قابل شناسایی شخصی (PII) را به سرورهای ابری شخص ثالث منتقل کند. این آسیب پذیری نه تنها اطلاعات خصوصی کاربر نهایی متوسط را در معرض خطر قرار می دهد، بلکه می تواند اعتبار اداری سازمان و سایر اطلاعات مربوط به زیرساخت را برای افراد خارجی ناامن نگه دارد.
این آسیب پذیری توسط یکی از بنیانگذاران otto-js و CTO Josh Summit در حین آزمایش قابلیت های تشخیص رفتار اسکریپت این شرکت کشف شد. در طول آزمایش، سامیت و تیم otto-js دریافتند که ترکیب مناسبی از ویژگیها در غلطگیر املای پیشرفته کروم یا ویرایشگر MS در Edge بهطور ناخواسته دادههای میدانی حاوی PII و سایر اطلاعات حساس را هنگام ارسال مجدد به سرورها افشا میکند. Microsoft و گوگل هر دو ویژگی برای فعال کردن آنها به اقدامات صریح از سوی کاربران نیاز دارند و پس از فعال شدن، کاربران اغلب از اشتراک گذاری داده های خود با اشخاص ثالث آگاه نیستند.
علاوه بر دادههای میدانی، تیم otto-js همچنین متوجه شد که رمز عبور کاربران میتواند از طریق گزینه نمایش رمز عبور فاش شود. این گزینه، که به کاربران کمک می کند تا از وارد کردن اشتباه رمز عبور خودداری کنند، به طور ناخواسته رمز عبور را از طریق ویژگی های پیشرفته غلط گیر املا در اختیار سرورهای شخص ثالث قرار می دهد.
کاربران فردی تنها طرفی نیستند که در معرض خطر هستند. این آسیبپذیری میتواند منجر به به خطر افتادن اعتبار شرکت توسط اشخاص ثالث غیرمجاز شود. تیم otto-js مثالهای زیر را ارائه کرد که نشان میدهد چگونه کاربرانی که وارد سرویسهای ابری و حسابهای زیرساختی شدهاند میتوانند به طور ناآگاهانه اعتبار خود را به سرورها منتقل کنند. Microsoft یا گوگل
تصویر اول (بالا) نمونه ای از ورود به حساب کاربری Alibaba Cloud را نشان می دهد. وقتی از طریق Chrome وارد سیستم میشوید، ویژگی پیشرفته بررسی املا اطلاعات درخواست را بدون اجازه سرپرست به سرورهای Google ارسال میکند. همانطور که در اسکرین شات (در زیر) مشاهده می کنید، این اطلاعات شامل رمز عبور واقعی است که برای ورود به فضای ابری شرکت وارد شده است. دسترسی به این نوع اطلاعات می تواند منجر به هر چیزی شود، از سرقت اطلاعات شرکت ها و مشتریان گرفته تا به خطر افتادن کامل زیرساخت های حیاتی.
تیم otto-js آزمایش و تحلیلی را روی معیارهایی انجام داد که رسانههای اجتماعی، ابزارهای اداری، مراقبتهای بهداشتی، دولت، تجارت الکترونیک و خدمات بانکی/مالی را هدف قرار میدهند. بیش از 96 درصد از 30 گروه کنترل آزمایش شده، داده ها را به آنها ارسال کردند Microsoft و گوگل 73 درصد از سایتها و گروههای آزمایششده پسوردهایی را به سرورهای شخص ثالث ارسال کردند که این گزینه انتخاب شد نمایش رمز عبور. آن سایتها و سرویسهایی که رمز عبور ارسال نمیکردند، این ویژگی را نداشتند نمایش رمز عبور و لزوماً به درستی محافظت نمی شدند.
تیم otto-js تماس گرفت Microsoft 365، Alibaba Cloud، Google Cloud، AWS، و LastPass، که پنج سایت برتر و ارائه دهندگان خدمات ابری هستند که بیشترین خطر را برای مشتریان سازمانی دارند. طبق بهروزرسانیهای امنیتی این شرکت، AWS و LastPass قبلاً پاسخ دادهاند و گفتهاند که این مشکل با موفقیت برطرف شده است.
شما می توانید به اوکراین در مبارزه با مهاجمان روسی کمک کنید. بهترین راه برای انجام این کار، کمک مالی به نیروهای مسلح اوکراین است Savelife یا از طریق صفحه رسمی NBU.
همچنین بخوانید:
آرامش خود را حفظ کنید، از فایرفاکس استفاده کنید
+