Pemeriksa ejaan Chrome dan Edge membocorkan kata sandi Anda
Pemeriksa ejaan Microsoft Edge dan pemeriksa ejaan Chrome yang disempurnakan mengirim data sensitif yang Anda ketik, termasuk kata sandi, ke server Google dan Microsoft.
Tim peneliti keamanan Otto-JS menemukan bahwa Microsoft Writer di Microsoft Edge dan built-in pemeriksa ejaan yang ditingkatkan Google Chrome bagikan data pribadi Anda di server Google dan Microsoft.
Secara khusus, semua konten yang dimasukkan ke dalam bidang teks yang dapat dianalisis oleh pemeriksa ejaan ini, baik itu halaman login atau formulir, dikirim ke dua raksasa Amerika. Ini dapat mencakup nama depan dan belakang, alamat email, tanggal lahir, nomor jaminan sosial, dll. Semua bidang teks yang dapat diuraikan oleh pemeriksa ejaan ini terpengaruh. Jika itu hanya setengah mengejutkan, sekuelnya ternyata lebih menakutkan. Memang, tim Otto-JS telah menemukan jauh lebih buruk.
Dengan menguji perilaku skrip mereka, eksekutif perusahaan menemukan bahwa dengan mengklik tombol untuk menampilkan kata sandi yang baru saja mereka masukkan, itu juga dikirim ke server Google dan Microsoft. .
“Yang mengkhawatirkan adalah betapa mudahnya mengaktifkan fitur-fitur ini dan sebagian besar pengguna akan mengaktifkannya tanpa benar-benar menyadari apa yang terjadi di latar belakang. » kata salah satu pendiri Otto-JS dalam pernyataan perusahaan.
Memang, jika Microsoft Editor adalah ekstensi yang harus diinstal secara sukarela oleh pengguna di Edge, ini bukan kasus pemeriksa ejaan Chrome yang ditingkatkan yang awalnya terintegrasi ke dalam browser.
Untuk mengilustrasikan bahaya yang dapat ditimbulkan oleh ekstensi ini, tim Otto-JS membuat demonstrasi yang jitu. Tangkapan layar yang diterbitkan oleh perusahaan menunjukkan bahwa ketika pengguna masuk ke Alibaba Cloud, kata sandi mereka dikirim ke server Google. Tetapi layanan ini tidak ada hubungannya dengan Google atau Microsoft. Pelanggaran ini, yang disebut “Spell-jacking” oleh Otto-JS, dapat ditransmisikan ke infrastruktur cloud atau jaringan internal perusahaan mana pun.
Otto-JS, yang mengungkapkan adanya pelanggaran ini kepada beberapa raksasa di sektor ini, telah memungkinkan beberapa dari mereka untuk memperbaiki situasi. Ini adalah kasus, misalnya, dari tim yang bertanggung jawab atas keamanan Amazon Web Services atau pengelola kata sandi LastPass. Tim keamanan mereka memecahkan kode aplikasi mereka untuk mencegah pemeriksa ejaan menganalisis bidang teks yang berisi data sensitif.
Otto-JS
“Friendly foodie. Stunningly charming explorer. Zombie nerd. Unrepentant web enthusiast. Crashes a lot.”