6

浏览器拼写检查或会泄露用户密码,特别是在云端服务器上使用时

 2 years ago
source link: https://www.expreview.com/84883.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
neoserver,ios ssh client

浏览器拼写检查或会泄露用户密码,特别是在云端服务器上使用时

林德琛发布于 2022-9-19 10:37

本文约 540 字,需 1 分钟阅读

最近有网络安全研究发现,像是Chrome以及Edge等浏览器可以通过改善拼写防能,无意间向第三方云端服务器发送用户的密码以及身份认证讯息(Personally identifiable information)。这个漏洞不但会让用户的隐私暴露在潜在危险中,同时对于公司组织的管理凭证以及网络基建相信讯息也有潜在影响。

chrome-87-88.png

这个漏洞是由网络安全公司otto-js的团队在测试其脚本行为侦测功能时发现。他们发现,Chrome的改善拼写检查功能及Edge的MS Editor在正确的组合功能之下,会无意中暴露包含身份认证讯息及其他敏感讯息的字段数据,同时把这些数据发回给微软或Google的服务器。

除了字段数据发,otto-js团队还发现浏览器中的“查看密码”功能会暴露用户的密码。这个功能本意是协助用户检查密码有没有拼错,然而改善拼写功能就可以把这些密码都暴露给第三方服务器。

otto-1.jpg

otto-js团队也演示了一次怎样利用这个漏洞。以阿里云为例,当用户以Chrome登入时,改善拼写功能会在没有管碳员授权的情况下把请求发送到基于Google的服务器。这个请求当中就包括了用户实际上输入的密码。一旦不法份子获得这些讯息,就可以窃取公司或用户数据,甚至直接危及公司组织的网络基建架构。

otto-js团队最后也联系了微软365、阿里云、Google Cloud、AWS以及LastPass这几家著名云服务供货商,提醒他们相关的风险,而AWS以及LastPass随后表示已经成功解决了这个漏洞。


report

Recommend

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK