当前位置: 首页 > 热点 > >正文

Chrome Edge增强拼写功能正在暴露您的个人信息-世界头条

来源:互联网    时间:2023-02-03 09:50:41


【资料图】

您键入的任何个人信息(包括密码)都可以在这些增强的拼写和语法功能打开的情况下被公开和共享。自2016年11月以来,我一直在PCMag工作,涵盖技术和视频游戏新闻的所有领域。在此之前,我在Geek.com工作了近15年,担任作家和编辑。大学毕业后的前六年,我还在迪士尼、GamesWorkshop、20thCenturyFox和Vivendi工作,担任专业游戏设计师。

GoogleChrome和MicrosoftEdge中发现了一个严重的安全漏洞,该漏洞允许个人信息(包括密码)以明文形式与第三方共享。

正如TechRadar报道的那样(在新窗口中打开),该漏洞是由JavaScript安全公司otto-js发现的,被称为“Spell-Jacking”(在新窗口中打开).”问题源于使用Chrome的增强拼写检查和Edge的Microsoft编辑器功能,用户可以选择启用这两个功能,但默认情况下都处于关闭状态。在Microsoft编辑器的情况下,它采用添加的形式-上(在新窗口中打开)你需要安装。

当它们被启用时,用户会被告知数据将被发送到谷歌和微软。这是典型的,因为所有公司都喜欢收集使用统计数据和数据来帮助改进功能的执行方式。但是,在这种情况下,用户在任一浏览器中输入的个人信息也会以明文形式共享。这可以包括用户名、密码、电子邮件地址、出生日期、社会保险号、付款详细信息等等。

正如otto-js的联合创始人兼首席技术官JoshSummit所解释的,就Chrome的增强拼写检查而言,“如果启用了‘显示密码’,该功能甚至会将您的密码发送到他们的第3方服务器。在研究数据时在不同的浏览器中泄漏,我们发现了一些功能组合,一旦启用,将不必要地将敏感数据暴露给谷歌和微软等第三方。令人担忧的是这些功能的启用有多容易,并且大多数用户会在没有真正意识到的情况下启用这些功能在后台发生了什么。”

Otto-js列出了企业公司使用的面临此安全漏洞风险的前五名在线服务。它们包括Office365、阿里巴巴的云服务、GoogleCloudSecretManager、AWSSecretManager和LastPass。但是,AWS和LastPass都已经缓解了这个问题。谷歌已经减轻了它的一些,但不是所有的服务。

不过,在这里面临风险的不仅仅是企业用户。Otto-js选择了50多个网站,并将它们分为六大类,涵盖网上银行、医疗保健、社交媒体、电子商务、云办公工具和政府。发现其中96.7%的人在启用增强功能时会向Google和Microsoft发送个人数据。当点击“显示密码”选项时,73%的人将您的密码发送给了他们。

otto-js工程副总裁WalterHoehn指出,“这种类型的暴露最有趣的事情之一是它是由两个单独的对用户都有益的功能之间的意外交互引起的。增强的拼写检查Chrome和Edge中的功能对默认的基于字典的方法进行了重大升级。同样,提供以明文显示密码选项的网站更有用,尤其是对于残障人士。当它们一起使用时,实际的密码暴露发生。”

X 关闭

推荐内容

这是标题

Copyright ©  2015-2022 亚太养生网版权所有  备案号:沪ICP备2020036824号-11   联系邮箱: 562 66 29@qq.com