کدخبر :272654 پرینت
02 مهر 1401 - 15:28

احتمال سرقت اطلاعات در مرورگر کروم و اج

به تازگی گروهی از محققان مقاله‌ای را منتشر کرده اند که نشان می‌دهد چگونه کاربران از ویژگی‌های املایی پیشرفته گوگل کروم یا مایکروسافت اج استفاده می‌کنند و طبق این مقاله افراد ممکن است ندانسته گذرواژه‌ها و اطلاعات شناسایی شخصی را به سرور‌های مبتنی بر ابر دیگران منتقل کنند.

متن خبر

به گزارش سیتنا، طبق تحقیقات دانشمندان، افراد ممکن است با استفاده از املای کلمات، اطلاعات شناسایی شخصی را به دیگران منتقل کنند. این آسیب‌پذیری نه تنها اطلاعات خصوصی کاربر نهایی را در معرض خطر قرار می‌دهد، بلکه می‌تواند اعتبار اداری سازمان و سایر اطلاعات مربوط به زیرساخت را در معرض اشخاص غیرمجاز قرار دهد.

این آسیب‌پذیری توسط جاش سامیت، بنیانگذار و مدیر ارشد فنی (CTO) شرکت otto-js در حین آزمایش قابلیت‌های تشخیص رفتار اسکریپت این شرکت کشف شد. در طول آزمایش، سامیت و تیم otto-js دریافتند که ترکیب مناسب ویژگی‌ها در بررسی املای پیشرفته کروم یا ویرایشگر MS Edge، اطلاعات حساس را به طور ناخواسته در معرض نمایش قرار می‌دهد و آن‌ها را به سرور‌های مایکروسافت و گوگل ارسال می‌کند.

هر دوی این مرورگر‌ها از کاربران می‌خواهند که دسترسی لازم را برای فعال کردن آن‌ها ارائه دهند و پس از فعال شدن، کاربران اغلب از اشتراک‌گذاری داده‌هایشان با سرور‌های شخص ثالث آگاه نیستند.

علاوه بر داده‌های میدانی، تیم otto-js همچنین دریافته است که رمز‌های عبور کاربر ممکن است از طریق گزینه view password در معرض قرار بگیرند. گزینه‌ای که برای کمک به کاربران در حصول اطمینان از این که گذرواژه‌ها به اشتباه کلید نخورده‌اند، به طور ناخواسته رمز عبور را از طریق توابع بررسی املا در معرض دید سرور‌های شخص ثالث قرار می‌دهد.

کاربران شخصی تنها کسانی نیستند که در معرض خطر هستند. این آسیب‌پذیری می‌تواند منجر به به خطر افتادن اعتبار سازمان‌ها توسط اشخاص ثالث غیرمجاز شود. تیم otto-js مثال‌های زیر را ارائه کرد تا نشان دهد چگونه کاربرانی که وارد سرویس‌های ابری و حساب‌های زیرساختی می‌شوند، می‌توانند اعتبار دسترسی به حساب خود را ناآگاهانه به سرور‌های مایکروسافت یا گوگل منتقل کنند.

تیم otto-js آزمایش و تجزیه و تحلیل را در بین گروه‌های کنترل متمرکز بر رسانه‌های اجتماعی، ابزار‌های اداری، مراقبت‌های بهداشتی، دولت، تجارت الکترونیک و خدمات بانکی/مالی انجام داد.

بیش از ۹۶ درصد از ۳۰ گروه کنترل آزمایش شده، داده‌ها را به مایکروسافت و گوگل ارسال کردند. ۷۳ درصد از آن سایت‌های آزمایش شده زمانی پسورد‌هایی را به سرور‌های شخص ثالث ارسال کردند که گزینه نمایش رمز عبور توسط کاربر انتخاب شد. تیم otto-js با مایکروسافت ۳۶۵، علی بابا کلود، گوگل کلود، AWS و LastPass تماس گرفت که نشان‌دهنده پنج سایت برتر و ارائه‌دهندگان خدمات ابری هستند که بیشترین ریسک را برای مشتریان شرکتی خود ارائه می‌دهند. طبق به‌روز رسانی‌های شرکت امنیتی، AWS و LastPass به این مشکل پاسخ داده و نشان داده‌اند که مشکل با موفقیت برطرف شده است.

انتهای پیام

نظرات خود را با ما درمیان بگذارید

افزودن دیدگاه جدید

کپچا
CAPTCHA ی تصویری
کاراکترهای نمایش داده شده در تصویر را وارد کنید.