Chrome與Edge中的拼字檢查功能可能外洩用戶密碼

資安業者otto(otto-js)上周提醒,若在Chrome瀏覽器中啟用進階拼字檢查(Enhanced Spellcheck),或是在微軟的Microsoft Edge中啟用Microsoft Editor,那麼瀏覽器就會將使用者於網站欄位中所輸入的資料傳送給Google及微軟,倘若輸入的是密碼,而且點擊了「顯示密碼」(Show Password),那麼連密碼都會被送出去。

進階拼字檢查是Chrome的功能之一,它會把使用者於瀏覽器中所輸入的文字傳送給Google,再使用與Google搜尋相同的拼字檢查技術,來提供拼字建議,其預設值是關閉的。至於Microsoft Editor則是微軟所開發的Chrome與Edge擴充程式,它會檢查使用者的單字及文法,還能修飾使用者的寫作風格。

然而,otto卻發現,為了改善使用者的拼字或文法,這兩個功能都會將使用者所輸入的資料回傳到它們的伺服器進行檢查,也許使用者是在編輯文件時啟用該功能,但若忘了關閉它,之後切換到其它網站時,一樣會送出使用者所輸入的資料,像是使用者名稱、電子郵件帳號、生日或社會安全碼,更嚴重的是,倘若網站提供了「顯示密碼」的功能,而且使用者點選了該功能,那明文密碼也同樣也會送出去。

otto把此一安全威脅稱為「拼字劫持」(Spell-Jacking),針對逾50個網站進行測試,並把當中的30個列為對照組,這30個網站分為6大類,包括網路銀行、線上辦公室工具、健康照護、政府、社交媒體及電子商務,發現當中高達96.7%都會把使用者輸入的個人資料傳送給Google及微軟(下圖左),也有73%會把密碼送出去(下圖右),總之,絕大多數都已淪為拼字劫持的受害者,而逾20%沒有送出密碼的並不是因為它們未被劫持,而是這些網站上並未提供「顯示密碼」功能。

圖片來源/otto

此外,不管是微軟自己的Office 365、阿里巴巴的雲端服務、Google Cloud(下圖所示)、AWS或LastPass都曝露在此一拼字劫持的風險中,其中的AWS與LastPass已緩解了此一問題。

圖片來源/otto

otto指出,就算Google與微軟都算是值得信賴的業者,但機密資料的外洩卻是不爭的事實。各家網站為了避免外洩用戶的個人資料,應該要在特定或所有欄位上以"spellcheck=false"來關閉拼字檢查功能,或是藉由終端安全工具來關閉或禁止用戶安裝白名單以外的擴充程式。

原文來自 iThome Online