به تازگی گروهی از محققان مقاله ای را منتشر کرده اند که نشان میدهد چگونه کاربران از ویژگیهای املایی پیشرفته گوگل کروم یا مایکروسافت اج استفاده میکنند. طبق این مقاله افراد ممکن است ندانسته گذرواژهها و اطلاعات شناسایی شخصی را به سرورهای مبتنی بر ابر دیگران منتقل کنند. این آسیبپذیری نه تنها اطلاعات خصوصی کاربر نهایی را در معرض خطر قرار میدهد، بلکه میتواند اعتبار اداری سازمان و سایر اطلاعات مربوط به زیرساخت را در معرض اشخاص غیرمجاز قرار دهد.
به گزارش سایت TECH SPOT، این آسیبپذیری توسط جاش سامیت، بنیانگذار و مدیر ارشد فنی (CTO) شرکت otto-js در حین آزمایش قابلیتهای تشخیص رفتار اسکریپت این شرکت کشف شد. در طول آزمایش، سامیت و تیم otto-js دریافتند که ترکیب مناسب ویژگیها در بررسی املای پیشرفته کروم یا ویرایشگر MS Edge، اطلاعات حساس را به طور ناخواسته در معرض نمایش قرار میدهد و آنها را به سرورهای مایکروسافت و گوگل ارسال میکند.
هر دوی این مرورگرها از کاربران میخواهند که دسترسی لازم را برای فعال کردن آنها ارائه دهند و پس از فعال شدن، کاربران اغلب از اشتراکگذاری دادههایشان با سرورهای شخص ثالث آگاه نیستند.
علاوه بر دادههای میدانی، تیم otto-js همچنین دریافته است که رمزهای عبور کاربر ممکن است از طریق گزینه view password در معرض قرار بگیرند. گزینهای که برای کمک به کاربران در حصول اطمینان از این که گذرواژهها به اشتباه کلید نخوردهاند، به طور ناخواسته رمز عبور را از طریق توابع بررسی املا در معرض دید سرورهای شخص ثالث قرار میدهد.
کاربران شخصی تنها کسانی نیستند که در معرض خطر هستند. این آسیبپذیری میتواند منجر به به خطر افتادن اعتبار سازمانها توسط اشخاص ثالث غیرمجاز شود. تیم otto-js مثالهای زیر را ارائه کرد تا نشان دهد چگونه کاربرانی که وارد سرویسهای ابری و حسابهای زیرساختی میشوند، میتوانند اعتبار دسترسی به حساب خود را ناآگاهانه به سرورهای مایکروسافت یا گوگل منتقل کنند.
تیم otto-js آزمایش و تجزیه و تحلیل را در بین گروههای کنترل متمرکز بر رسانههای اجتماعی، ابزارهای اداری، مراقبتهای بهداشتی، دولت، تجارت الکترونیک و خدمات بانکی/مالی انجام داد.
بیش از ۹۶ درصد از ۳۰ گروه کنترل آزمایش شده، دادهها را به مایکروسافت و گوگل ارسال کردند. ۷۳ درصد از آن سایتهای آزمایش شده زمانی پسوردهایی را به سرورهای شخص ثالث ارسال کردند که گزینه نمایش رمز عبور توسط کاربر انتخاب شد. تیم otto-js با مایکروسافت ۳۶۵، علی بابا کلود، گوگل کلود، AWS و LastPass تماس گرفت که نشاندهنده پنج سایت برتر و ارائهدهندگان خدمات ابری هستند که بیشترین ریسک را برای مشتریان شرکتی خود ارائه میدهند. طبق بهروز رسانیهای شرکت امنیتی، AWS و LastPass به این مشکل پاسخ داده و نشان دادهاند که مشکل با موفقیت برطرف شده است.
بیشتر بخوانید