眾所周知,無論是在網絡聊天、還是在工作中,「打錯字」都是一件很常見的事情。面對錯字,有的朋友可能對此並不在意,但也會有人難以容忍。
然而根據日前發布的一份安全報告顯示,兩款主流的瀏覽器產品、微軟 Edge 與 Google Chrome 所配備的「增強型拼寫檢查」功能,卻可能存在著相當嚴重的私隱竊取問題。
據名為 otto-js 的 JavaScript 安全公司披露稱,只要使用的是 Edge 和 Chrome 並且有它們的增強拼寫檢查功能,拼寫劫持就可能發生在所有網站上。
為了證明這一點,otto-js 分享了當他們使用員工憑證(特別是密碼)登錄公司的阿里巴巴雲帳戶時發生了什麼事,這些憑證後來被發送到了 Google。此外,otto-js 還分享了一個影片演示以展示拼寫劫持如何暴露公司的雲基礎設施–包括伺服器、數據庫、公司電子郵件帳戶和密碼管理器。
Otto-js 建議道「本公司可以減輕分享客戶 PII 的風險–通過在所有輸入字段中添加『spellcheck=false』,儘管這可能給用戶帶來問題,但是瀏覽器公司可以刪除『顯示密碼』的功能。事實上,這不會防止拼寫劫持,但它能制止用戶密碼被發送出去。此外,還可以使用像 otto-js 這樣的客戶端安全軟件來監控和控制第三方腳本。」
這家安全公司表示,目前還不知道傳輸給微軟和 Google 的數據是否被儲存,也不知道它們是如何被管理的。微軟仍沒有對此發表任何評論,但 Google 發言人告訴 BleepingComputer–「Google 不會將其附加到任何用戶身份上,只是在伺服器上臨時處理。」
