Warnung: Aktivieren Sie die erweiterten Rechtschreibprüfungsfunktionen von Edge und Chrome nicht

Wenn Sie die erweiterten Rechtschreibprüfungsfunktionen von verwenden Rand und Chrom, ist es an der Zeit, sie zu beenden, da ein neuer Bericht zeigt, dass die Fähigkeit Ihre Formulardaten tatsächlich an die Technologiegiganten senden kann, die die besagten Browser besitzen. (über Computer piepst)

Laut dem JavaScript-Sicherheitsunternehmen namens otto-jsdies geschieht, wenn die erweiterte Rechtschreibprüfung von Chrome (chrome://settings/?search=Enhanced+Spell+Check) und Microsoft Editor Rechtschreib- und Grammatikprüfungs-Browser-Addon von Edge werden von den Benutzern manuell aktiviert. Beachten Sie jedoch, dass beide Browser ihre eigenen grundlegenden Rechtschreibprüfungen standardmäßig aktiviert haben, aber sie stellen kein Sicherheitsrisiko dar, da sie sich nicht so verhalten wie die erweiterten Funktionen.

Bei Aktivierung können die Features Daten an Microsoft und Google senden. Die übermittelten Informationen hängen von dem Formular ab, das Sie auf bestimmten Websites ausfüllen. Das bedeutet, je mehr Informationen Sie teilen und Formularfelder ausfüllen, desto mehr Daten können an die Unternehmen gesendet werden, wenn die erweiterte Rechtschreibprüfung aktiviert ist. Beispielsweise kann eine Website, die Sie besuchen, die Angabe Ihrer personenbezogenen Daten (PII) erfordern, wie z. B. Ihren vollständigen Namen, Ihre Wohnadresse, E-Mail-Adresse, Sozialversicherungsnummer, Passnummer, Führerscheinnummer, Kreditkartennummern, Datum des Geburt und mehr. Schlimmer noch, Ihre Passwörter könnten laut dem otto-js-Forschungsteam auch an Microsoft und Google übertragen werden und den Vorgang als „Spelljacking“ bezeichnen, der „ein grundlegendes Sicherheitsprinzip des ‚Need-to-Know‘ verletzt und als a angesehen werden könnte Verletzung der Privatsphäre.”

„Wenn ‚Passwort anzeigen‘ aktiviert ist, sendet die Funktion Ihr Passwort sogar an deren Server von Drittanbietern“, teilte Josh Summitt, Mitbegründer und CTO von Otto JavaScript Security, die Entdeckung mit, während er die Erkennung des Skriptverhaltens des Unternehmens testete. „Bei der Suche nach Datenlecks in verschiedenen Browsern haben wir eine Kombination von Funktionen gefunden, die, sobald sie aktiviert sind, sensible Daten unnötigerweise an Dritte wie Google und Microsoft weitergeben. Besorgniserregend ist, wie einfach diese Funktionen zu aktivieren sind und dass die meisten Benutzer diese Funktionen aktivieren, ohne wirklich zu wissen, was im Hintergrund passiert.“

Anmeldeinformationen für das Alibaba Cloud-Konto werden an Google gesendet

Spelljacking kann auf allen Websites vorkommen, solange Sie Edge und Chrome verwenden und die erweiterten Rechtschreibprüfungsfunktionen funktionieren. Um dies zu beweisen, teilte otto-js mit, wie es passierte, als sie sich mit den Mitarbeiteranmeldeinformationen (insbesondere dem Passwort) beim Alibaba Cloud-Konto des Unternehmens anmeldeten, die später an Google gesendet wurden. Darüber hinaus hat otto-js eine Videodemonstration geteilt, die zeigt, wie Spelljacking die Cloud-Infrastruktur eines Unternehmens offenlegt, einschließlich Server, Datenbanken, E-Mail-Konten und Passwort-Manager.

„Das Video verwendet ein gängiges Szenario am Arbeitsplatz, um zu veranschaulichen, wie einfach es ist, die Browser-erweiterten Rechtschreibprüfungsfunktionen zu aktivieren und wie ein Mitarbeiter das Unternehmen preisgeben könnte, ohne es jemals zu wissen“, fügt otto-js hinzu. „Die meisten CISOs wären äußerst beunruhigt, wenn sie erfahren würden, dass die administrativen Zugangsdaten ihres Unternehmens unwissentlich im Klartext an Dritte weitergegeben wurden, selbst wenn sie ihnen im Allgemeinen vertrauen.“

Das JavaScript-Sicherheitsunternehmen unterstrich außerdem die Namen von Unternehmen und Diensten, die von dem Problem betroffen sein könnten. Es umfasst Alibaba – Cloud Service, Office 365 und Google Cloud – Secret Manager. AWS – Secrets Manager und LastPass waren ursprünglich in der Liste enthalten, aber otto-js sagte, dass beide „das Problem bereits vollständig entschärft haben“.

Abgesehen davon, dass die erweiterte Rechtschreibprüfung von Chrome und das Browser-Add-on Microsoft Editor Spelling & Grammar Checker von Edge unverändert und deaktiviert bleiben, gibt es laut otto-js weitere Möglichkeiten, wie das Spelljacking-Problem von Unternehmen durch das Hinzufügen von „spellcheck=false“ verhindert werden könnte.

„Unternehmen können das Risiko mindern, die PII ihrer Kunden zu teilen – indem sie allen Eingabefeldern ‚spellcheck=false‘ hinzufügen, obwohl dies zu Problemen für die Benutzer führen könnte“, schlägt otto-js vor. „Alternativ könnten Sie es nur zu den Formularfeldern mit sensiblen Daten hinzufügen. Unternehmen können auch die Möglichkeit zum „Passwort anzeigen“ entfernen. Das wird Spelljacking nicht verhindern, aber es wird verhindern, dass Benutzerkennwörter gesendet werden. Unternehmen können auch clientseitige Sicherheitssoftware wie otto-js verwenden, um Skripte von Drittanbietern zu überwachen und zu kontrollieren.“

Ob die an Microsoft und Google übermittelten Daten gespeichert und wie sie verwaltet werden, ist nach Angaben des Sicherheitsunternehmens nicht bekannt. Microsoft hat noch keinen Kommentar dazu veröffentlicht, aber ein Google-Sprecher sagte gegenüber BleepingComputer, dass „Google es keiner Benutzeridentität zuordnet und es nur vorübergehend auf dem Server verarbeitet“.

Author: admin

Leave a Reply

Your email address will not be published.