Les correcteurs orthographiques basés sur le navigateur de Google et Microsoft peuvent entraîner le vol de PII

De l’autre côté du miroir : vendredi, l’équipe de recherche d’otto-js a publié un article décrivant comment les utilisateurs utilisant les fonctionnalités d’orthographe améliorées de Google Chrome des ou de Microsofttrele Edge de motirs passe et des informations personnelles identifiables (PII) à des serveurs tiers basés sur le cloud. La vulnérabilité met non seulement en danger les informations privées de l’utilisateur final moyen, mais elle peut égallement laisser les informations d’identification administratives d’une organization et d’autres informations liées à l’infrastructure des exposéesés non autorisés.

La vulnérabilité a été découverte by Josh Summit, co-fondateur et directeur (CTO) d’otto-js, alors qu’il testait les capacités de détection du comportement des scripts de l’entreprise. Au cours des tests, Summit et l’équipe otto-js ont découvert que la bonne combinaison de fonctionnalités dans le correcteur orthographique amelioré de Chrome ou l’éditeur MS d’Edge information exposerait involontairement des dontenées des Pau II sensibles, les renvoyant aux serveurs Microsoft et Google. Les deux fonctionnalités exigent que les utilisateurs prennent des mesures explicites pour les activeées, et une fois activées, les utilisateurs ignorent souvent que leurs données sont partagees avec des tiers.

En plus des données de terrain, l’équipe otto-js a égallement découvert que les mots de passe des utilisateurs pouvaient être exposés via le afficher le mot de passe option. L’option, destinée à aider les utilisateurs à s’assurer que les mots de passe ne sont pas mal saisis, expose par inadvertance le mot de passe aux serveurs tiers via les fonctions de vérification orthographique ameliorées.

Les utilisateurs individuels ne sont pas les seules parties à risque. La vulnérabilité peut faire en sorte que les informations d’identification des entreprises soient compromises par des tiers non autorisés. L’équipe otto-js a fourni les exemples suivants pour montrer comment les utilisateurs se connectant aux services cloud et aux comptes d’infrastructure peuvent voir leurs informations d’identification d’accès au compte transmises voir aux Google serves.

La première image (ci-dessus) représente un exemple de connexion au compte Alibaba Clout. Lors de la connexion via Chrome, la fonction Enhanced Spellcheck transmet les informations de la demande aux serveurs basés sur Google sans l’autorisation d’un administrateur. Comme le montre la capture d’écran ci-dessous, ces information de demande incluent le mot de passe réel saisi pour la connexion au cloud de l’entreprise. L’accès à ce type d’informations peut entraîner n’importe quoi, du vol de données d’entreprise et de clients à la compromission complète de l’infrastructure critique.

1663508887 836 Les correcteurs orthographiques bases sur le navigateur de Google et

L’équipe otto-js a effectué des tests et des analyses dans des groupes de contrôle axés sur les médias sociaux, les outils de bureau, les soins de santé, le gouvernement, le commerce electronique et les services banciers. Plus de 96 % des 30 groups de contrôle testés ont renvoyé des données à Microsoft et Google. 73% de ces sites et groupes testés ont envoyé des mots de passe aux serveurs tiers lorsque le montrer le mot de passe l’option a été sélectionnée. Les sites et services qui n’en avaient pas étaient ceux qui manquaient tout simplement de montrer le mot de passe fonction et n’étaient pas nécessairement correctement atténués.

L’équipe otto-js a contacté Microsoft 365, Alibaba Cloud, Google Cloud, AWS et LastPass, qui représentent les cinq principaux sites et fournisseurs de services cloud présentant la plus grande exposition aux risques pour leurs entreprises clientes. Selon les mises à jour de la société de sécurité, AWS et LastPass ont déjà répondu et indiqué que le problème avait été résolu avec succès.

Leave a Comment