В пятницу исследовательская группа otto-js опубликовала статью о том, как пользователи Google Chrome и расширенной функции правописания Microsoft Edge могут передавать пароли и персональную информацию на сторонние облачные серверы. Туда же могут отправиться административные учётные данные организаций и другая инфраструктурная информация.
Уязвимость была обнаружена соучредителем и главным техническим директором otto-js Джошем Саммитом при тестировании поведения скриптов. Было установлено, что определённое сочетание функций расширенной проверки орфографии Chrome или редактора MS Edge непреднамеренно раскрывает персональные данные и другую конфиденциальную информацию, отправляя их на серверы Microsoft и Google. Эти функции требуют активации со стороны ничего не подозревающих пользователей.
Пароли пользователей могут быть раскрыты с помощью опции просмотра пароля. Параметр, помогающий вводить правильный пароль, непреднамеренно раскрывает пароль сторонним серверам посредством расширенных функций проверки орфографии.
Уязвимость может стать причиной того, что учётные данные корпоративных организаций попадут в чужие руки. Исследователи показали, как входящие в облачные службы и учётные записи организаций пользователи передают их на серверы Microsoft или Google.
На изображении показан вход в учётную запись Alibaba Cloud. При входе через Chrome расширенная функция проверки орфографии передает информацию запроса на серверы Google без авторизации администратора. Там содержится пароль на вход в облачный сервис компании. Это может стать причиной кражи корпоративных и клиентских данных и вывода из строя критически важной инфраструктуры.
Было проведено тестирование и анализ контрольных групп в сфере социальных сетей, офисных инструментов, здравоохранения, государственных учреждений, электронной коммерции и банковских/финансовых услуг. Более 96% из 30 протестированных контрольных групп отправили данные в Microsoft и Google. 73% протестированных сайтов и групп отправляли пароли на сторонние серверы при выборе опции «Показать пароль». Если сайты и сервисы этого не делали, у них не было функции отображения пароля.
Исследователи обратилась к Microsoft 365, Alibaba Cloud, Google Cloud, AWS и LastPass. Это пять ведущих сайтов и провайдеров облачных услуг, способные подвергнуть клиентов наибольшему риску. AWS и LastPass сообщили об устранении уязвимости, пишет Techspot.
