مرکز تحقیقاتی Otto-js با انتشار گزارشی مدعی شد کاربرانی که از قابلیتهای تصحیح نوشتاری گوگل کروم یا مایکروسافت اج استفاده میکنند، ممکن است ناخواسته رمزهای عبور و یا اطلاعات شخصی (PII) خود را به سرورهای ابری شخص ثالث ارسال کنند.
به گفته این شرکت، آسیبپذیری مذکور نهتنها اطلاعات خصوصی کاربر را در معرض خطر و در دسترس هکرها قرار میدهد بلکه میتواند اطلاعات محرمانه و حیاتی سازمانها و یا دادههای مرتبط با زیرساختهای آنها را در اختیار اشخاص و گروههای ناشناس قرار دهد.
این آسیبپذیری توسط جاش اسمیت بنیانگذار و مدیر ارشد فنی Otto-js در حین تست قابلیتهای تشخیص رفتار اسکریپ این شرکت شناسایی شد. سامیت و تیم Otto-js در این تست به این نتیجه رسیدند که ترکیب مناسب قابلیتها در بررسی تصحیح پیشرفته نوشتار مرورگر کروم و یا MS Editor مرورگر اج، به صورت ناخواسته اطلاعات کاربران را در معرض نمایش قرار میدهد و آنها را به سرورهای گوگل و مایکروسافت ارسال میکند.
به گفته این تیم، دو قابلیت مذکور از کاربران میخواهند که آنها را فعال کنند که به محض فعال شدن، دادههای افراد بدون اطلاعات آنها، با اشخاص ثالث به اشتراک گذاشته میشود. تیم Otto-js همچنین پی برد که رمزهای عبور کاربران ممکن است از طریق گزینه View Password، در معرض خطر باشد.
این گزینه که به منظور چک کردن وارد شدن درست رمزعبور از سوی کاربر مورد استفاده قرار میگیرد، میتواند از طریق فرآیندهای مرتبط با تصحیح پیشرفته نوشتار، رمز عبور وی را بدون آنکه مطلع شود، برای افراد ناشناس ارسال کند.
البته این تیم اعلام کرد که کاربران عادی، تنها افرادی نیستند که ممکن است تحت تاثیر این آسیبپذیری قرار گیرند. احتمال به خطر افتادن اطلاعات شخصی و محرمانه شرکتها و سازمانها نیز وجود دارد.
بر اساس بررسیها و تستهایی که این تیم روی 30 گروه کنترلشده انجام دادند، مشخص شد که در بیش از 96 درصد از این گروهها، اطلاعات به گوگل و مایکروسافت ارسال میشود.
همچنین در این گزارش آمده که در 73 درصد از این وبسایتها و گروههای کنترلشده، مشاهده شد که رمزهای عبور به سرورهای ناشناس و شخص ثالث ارسال میشوند. این اتفاق زمانی میافتد که کاربران، گزینه Show Password را برای مشاهده رمز عبور خود انتخاب میکنند.
