安全公司發警告:不要激活Edge、Chrome的增強拼寫檢查功能


如果你正在使用Edge和Chrome的增強拼寫檢查功能,那麼現在是時候放棄它們,因為一份新報告顯示,該功能實際上可以將你的表格數據發送到擁有上述瀏覽器的科技巨頭那裡。

據名為otto-js的JavaScript安全公司披露稱,當Chrome的增強拼寫檢查功能和Edge的微軟編輯器拼寫和語法檢查器(Microsoft Editor Spelling & Grammar Checker)瀏覽器插件被用戶手動激活時就會發生這種情況。盡管如此,值得註意的是,這兩種瀏覽器都有自己的基本拼寫檢查器默認啟用,但它們不會構成安全風險,因為它們的行為與增強功能不同。

當激活後,這些功能可以向微軟和Google發送數據。傳送的信息取決於你在特定網站上填寫的表格,這意味著你分享的信息越多填寫的表格字段越多,在激活增強拼寫檢查功能時可能會向這些公司發送的數據越多。如你正在訪問的網站可能要求你提供個人身份信息(PII)像你的全名、傢庭住址、電子郵件地址、社會安全號、護照號碼、駕駛執照號碼、信用卡號碼、出生日期等。更糟糕的是,你的密碼也可能被傳送到微軟和Google,根據otto-js研究小組的說法,稱這個過程為“拼寫劫持”。

“如果啟用‘顯示密碼’,那麼該功能甚至會將你的密碼發送到他們的第三方服務器上,”otto JavaScript Security的聯合創始人兼首席技術官Josh Summitt在測試該公司的腳本行為檢測時分享這一發現,“在研究不同瀏覽器的數據泄漏時,我們發現一個功能組合,一旦啟用將不必要地將敏感數據暴露給第三方如Google和微軟。令人擔憂的是,這些功能很容易啟用,而且大多數用戶會啟用這些功能而沒有真正意識到在後臺發生什麼。”

隻要使用的是Edge和Chrome並且有它們的增強拼寫檢查功能,拼寫劫持就可能發生在所有網站上。為證明這一點,otto-js分享當他們使用員工憑證(特別是密碼)登錄公司的阿裡巴巴雲賬戶時是如何發生的,這些憑證後來被發送到Google。此外,otto-js還分享一個視頻演示以展示拼寫劫持如何暴露公司的雲基礎設施--包括服務器、數據庫、公司電子郵件賬戶和密碼管理器。

“該視頻使用工作場所的一個常見場景來顯示啟用瀏覽器增強的拼寫檢查功能是一件多麼容易的事情以及員工如何在不知不覺中暴露公司的情況,”otto-js補充道,“大多數CISO在得知他們公司的管理證書在不知情的情況下被明文共享給第三方,甚至是他們普遍信任的第三方時會感到非常震驚。”

這傢JavaScript安全公司還進一步強調可能受到該問題影響的公司和服務的名稱。它包括阿裡巴巴--雲服務、Office 365和Google雲--Secret Manager。AWS - Secrets Manager和LastPass一開始雖然也被列入名單,但otto-js表示,這兩傢公司已經完全緩解這個問題。

除保持Chrome的增強拼寫檢查功能和Edge的微軟編輯器拼寫和語法檢查器瀏覽器插件不被觸動和停用之外,otto-js稱公司還可以通過增加“spellcheck=false”來防止拼寫劫持問題。

Otto-js建議道:“公司可以減輕分享客戶PII的風險--通過在所有輸入字段中添加'spellcheck=false',盡管這可能給用戶帶來問題。或者你可以隻把它添加到有敏感數據的表單字段。公司也可以刪除‘顯示密碼’的功能。這不會防止拼寫劫持,但它能防止用戶密碼被發送。公司還可以使用像otto-js這樣的客戶端安全軟件來監控和控制第三方腳本。”

這傢安全公司表示,目前還不知道傳輸給微軟和Google的數據是否被儲存,也不知道它們是如何被管理的。微軟仍沒有對此發表任何評論,但Google發言人告訴BleepingComputer--“Google不會將其附加到任何用戶身份上,隻是在服務器上臨時處理。”


相關推薦

2022-09-19

otto-js安全研究團隊於本周五發佈博文,概述在未經用戶許可且用戶不知情的情況下,黑客可以利用GoogleChrome和MicrosoftEdge瀏覽器中的增強拼寫功能,將密碼和個人身份信息(PII)傳輸到第三方基於雲的服務器。該漏洞不僅讓普通最

2022-09-05

微信的隱私保護,那麼你可以信得過微信鍵盤的隱私性和安全性。所以大傢說那我們就做吧……出於好奇,我也在手裡的設備中安裝並使用一段時間的微信鍵盤,下面聊聊使用體驗。註:本文內容以微信鍵盤 0.9.0 Beta 為準。作為

2024-03-21

隻能等待微軟開始為 Windows Insiders 推出更新。與此同時,公司發佈重新設計的"設置"頁面,其中包含整齊的動畫和部分。該頁面現在分為三個類別:外觀、文本格式和打開記事本。去年,微軟關閉 Windows 11 和 10 中的默認

2022-09-17

現在,似乎Chrome瀏覽器也在獲得另一個Edge功能,這次是安全方面的增強。一些微軟Edge用戶可能沒有意識到這一點,但該瀏覽器實際上提供一個"用設備密碼登錄"的設置。當你在表格中自動填寫密碼時,這增加一個安全層

2022-06-24

iOS端Chrome瀏覽器在近日的更新引入瞭增強型安全瀏覽(EnhancedSafeBrowsing)功能。該功能已經在桌面端和Android端可用,現在Google宣佈將該功能引入到瞭iPhone和iPad上。增強型安全瀏覽(Enhanced Safe Browsing)提供預測、改進的安全性,將UR

2022-08-06

今天正式發佈。此版本中最顯著的新增功能是新的“增強安全模式”(EnhancedSecuritymode)。該功能此前稱之為SuperDuperSecure模式,有平衡(Balanced)和嚴苛(Strict)兩種選項。而在更名之後微軟新增基礎(Basic)選項,並推薦大部

2022-06-24

主要功能,重點是使iPhone和iPad上的Chrome瀏覽器更快、更安全、更個性化。根據Google官方博客上的一篇文章,iOS版Chrome瀏覽器的下一次更新將包括以下功能:加強安全瀏覽。這是Google計劃將其桌面版瀏覽器的一項功能帶到移動設

2022-10-18

在我們日常上網過程中,我們多少都會遇到網址拼寫錯誤的情況,而網絡犯罪分子則可能通過這種拼寫錯誤來欺騙用戶。通過和正規網址類似的URL,黑客可以執行網絡釣魚、惡意軟件傳播等其他詐騙方式,因此微軟在Edge瀏覽器

2022-09-07

附帶的小功能。大概就是語音轉文字、表情、智能推薦、拼寫檢測和常用語這幾個功能,既然是個測評,世超把每個功能都幫測試一下。首先是這個語音轉文字。眾所周知,微信的菜單裡是自帶語音轉文字的功能的, 而微信鍵

2024-03-15

Google今天宣佈升級SafeBrowsing(安全瀏覽)功能,提供實時URL保護,使Chrome瀏覽器用戶免受惡意網站的攻擊。安全瀏覽旨在通過對照主列表檢查URL,防范網絡釣魚攻擊、惡意軟件和不需要的軟件。Chrome 瀏覽器的標準保護功能以前

2023-02-28

器進行幕後改進,使其在MacBooks上的電池占用率降低。該公司表示,本周向所有用戶推出的110版本,將為配備AppleSilicon處理器的新Mac電腦,甚至是舊款電腦提供性能提升。Google進行的測試顯示,用戶在運行macOS Venturade 基於M2的MacB

2023-12-07

的模型在現實世界中是如何工作的。我們從中吸取教訓。安全是一個重要的領域。所以在Gemini項目中,我們已經學習並改進一些安全技術,這些技術是基於模型在現實世界中的運作方式改進的。它表明微調等各種事情的重要性。

2023-02-10

中推送給內部人員的構建為用戶帶來額外的好處。按照該公司的新方法,Windows11Beta內部人員正在獲得兩個新的構建:Build 22623.1255 = 新功能推出Build 22621.1255 = 默認關閉新功能另一方面,最大的變化無疑是對記事本中標簽的支持。

2022-09-15

鍵盤誕生的起源。為解決用戶數據濫用問題,以隱私性和安全性著稱的微信鍵盤開啟測試,記者在體驗該款輸入法的過程中也體會到微信對隱私保護的重視。在首次開啟微信鍵盤時,屏幕上會出現“此輸入法可能會收集您輸入的