[圖]Chrome/Edge中拼寫檢查功能或導致用戶個人信息失竊


otto-js安全研究團隊於本周五發佈博文,概述在未經用戶許可且用戶不知情的情況下,黑客可以利用GoogleChrome和MicrosoftEdge瀏覽器中的增強拼寫功能,將密碼和個人身份信息(PII)傳輸到第三方基於雲的服務器。

該漏洞不僅讓普通最終用戶的私人信息面臨風險,而且還可能使組織的管理憑據和其他與基礎設施相關的信息暴露給未經授權的各方。該漏洞是由 otto-js 聯合創始人兼首席技術官喬什·施密特(Josh Summit)在測試公司的腳本行為檢測能力時發現的。

在測試過程中,施密特和 otto-js 團隊發現,在 Chrome 瀏覽器中的“增強拼寫檢查”和 Edge 瀏覽器的“MS Editor”中,正確組合功能會無意中暴露包含 PII 和其他敏感信息的字段數據,並將其發送回微軟和Google服務器。這兩個功能都要求用戶采取明確的行動來啟用它們,一旦啟用,用戶通常不會意識到他們的數據正在與第三方共享。

除字段數據,otto-js 團隊還發現用戶密碼可能會通過查看密碼選項暴露。該選項旨在幫助用戶確保密碼不被錯誤鍵入,通過增強的拼寫檢查功能無意中將密碼暴露給第三方服務器。

面臨風險的並不僅僅隻是個人用戶。該漏洞可能導致企業組織的憑據被未經授權的第三方泄露。 otto-js 團隊提供以下示例,以展示登錄雲服務和基礎架構帳戶的用戶如何在不知情的情況下將其帳戶訪問憑據傳遞給 Microsoft 或 Google 服務器。


相關推薦

2022-09-19

如果你正在使用Edge和Chrome的增強拼寫檢查功能,那麼現在是時候放棄它們,因為一份新報告顯示,該功能實際上可以將你的表格數據發送到擁有上述瀏覽器的科技巨頭那裡。據名為otto-js的JavaScript安全公司披露稱,當Chrome的增強

2024-03-21

正在為記事本開發校對功能。Windows Insiders 很快就能切換拼寫檢查,這樣該應用就能突出顯示拼寫錯誤的單詞並提供建議。此外,記事本還能在拼寫檢查打開時自動糾正錯別字。微軟甚至可以配置例外列表,指定內置拼寫檢查程

2022-09-05

提供一些額外的輸入功能,包括語音轉文字、emoji 表情、拼寫檢查等功能。微信鍵盤主界面emoji 表情面板打開後可以通過右上角的三點菜單將表情按鈕固定到空格左側,語音轉文字的觸發按鈕也可以在輸入法設置中選擇駐留時長

2022-09-15

簡單,點擊左上角的“P”功能按鍵後分為三個部分,即拼寫Plus功能區(包括語音轉文字、表情、智能推薦等)、鍵盤選擇區及設置區(包括單手模式、鍵盤調節等)。在鍵盤佈局上,微信鍵盤支持九宮格、全鍵盤、手寫輸入、

2022-09-07

附帶的小功能。大概就是語音轉文字、表情、智能推薦、拼寫檢測和常用語這幾個功能,既然是個測評,世超把每個功能都幫測試一下。首先是這個語音轉文字。眾所周知,微信的菜單裡是自帶語音轉文字的功能的, 而微信鍵

2024-02-23

否不想使用標準版本。HTML 版本缺少很多功能,如聊天、拼寫檢查、搜索過濾器、鍵盤快捷鍵和豐富的格式。但在連接性較差的地區或隻想瀏覽電子郵件而不想使用任何額外功能的情況下,HTML 版還是很有用的。目前還不清楚Googl

2022-09-05

”的引導設置界面整體上更為簡潔,其主要突出一項名為拼寫Plus的功能,系統提示開啟這項功能後APP會上傳一部分用戶數據,為帶給大傢完整的使用體驗我們這裡選擇開啟。完成設置後,喚起“微信鍵盤”我們可以看到其整體

2023-02-10

包括以下修復:在搜索框中輸入的進程名稱不再意外地被拼寫檢查,修復敘述者在任務管理器中如何讀出內容的幾個問題,修復設置中的下拉菜單可能與你當前選擇的主題不匹配的問題。當在應用歷史頁面上使用搜索時,結果不

2022-09-15

使用一個名為“Puppeteer”的 Node.js 庫。它可以控制 Google Chrome 或其它基於 Chromium 內核打造的瀏覽器,且默認情況下以 headless 模式運行(方便命令行交互)。Facebook 工程師解釋稱,MemLab 的工作方式就是導航到一個頁面、然後離

2022-08-27

並。需要註意的是,遷移完畢不要立即刪除聊天記錄,請檢查手機裡是否有記錄後再刪除電腦裡的聊天記錄。圖9 聊天記錄遷移功能總結怎麼樣,一口氣看完微信最近的新功能,你認為最實用的是哪個呢?小編認為全屏輸入功能

2022-07-31

在iOS16中,ApplePay可能最終與MicrosoftEdge、GoogleChrome和MozillaFirefox兼容。MacRumors撰稿人SteveMoser發現,ApplePay在iOS16beta4中與Edge和Chrome兼容,並在Twitter上分享他的發現。Moser的截圖顯示,在使用Edge時,蘋果的結賬頁面有一個"繼續

2022-10-18

進行選擇時,將出現一個號召性用語。帶有鼠標滾輪的 Chrome/Edge 滾動標簽是一個 Windows mod,用於在將鼠標懸停在標簽欄上時使用鼠標滾輪在 Chrome、Brave、Opera 和 Edge 瀏覽器上的標簽之間切換。如果用戶希望以相反的方向滾動瀏

2022-07-20

行業持續做好未成年人適用智能終端、未成年人網絡保護功能等相關產品技術的跟蹤研發,積極推進相關標準化工作。推動移動智能終端未成年人保護相關團體、行業標準上升為國傢標準。指導TAF依據相關標準開展第三方測評。

2022-10-18

在我們日常上網過程中,我們多少都會遇到網址拼寫錯誤的情況,而網絡犯罪分子則可能通過這種拼寫錯誤來欺騙用戶。通過和正規網址類似的URL,黑客可以執行網絡釣魚、惡意軟件傳播等其他詐騙方式,因此微軟在Edge瀏覽器