اطلاعات شخصی کاربران زیر دستان غلطیاب گوگل کروم و افزونهی مایکروسافت اج
گروه پژوهشی otto-js سرقت احتمالی اطلاعات حساس کاربران ازطریق افزونهی مروگر اج و غلطیاب کروم را فاش کردند.
پژوهش اخیر تیم ott-js Research نشان داده است دادههای بررسیشده ازطریق افزونهی Microsoft Editor مروگر اج و سیستم غلطیابی پیشرفتهی گوگل کروم بهترتیب به شرکت مایکروسافت و گوگل ارسال میشود. دادههای مذکور شامل نام کاربری، ایمیل، تاریخ تولد، شمارهی تأمین اجتماعی (آمریکا) و هرگونه اطلاعات نوشتاری است که موردبررسی سیستمهای یادشده قرار میگیرد.
علاوهبراین، درصورتی که دکمهی Show Password (نمایش رمز عبور) فشار داده شود، حتی امکان ارسال رمزعبور نیز وجود دارد؛ زیرا با نمایش رمز، محتوای آن بررسی میشود. مسئلهی مهم اطلاعات شخصی و حساس کاربران است که هنگام ورود به پایگاههای دادهی داخلی و زیرساختهای ابری واردکردنشان ضروری است. همانطورکه در تصاویر زیر مشاهده میکنید، کاربری در حال ورود به حساب کاربری Alibaba Cloud خود است و اطلاعاتش در همان لحظه با گوگل بهاشتراک گذاشته میشود.
برای جلوگیری از این مشکل، برخی از شرکتها در حال انجام اقداماتی هستند که ازجمله میتوان به بهروزرسانیهای ارائهشدهی تیمهای امنینی AWS و LastPass اشاره کرد. مشکل مذکور که به spell-jacking (سرقت املایی) مشهور شده، بهشدت جدی است؛ چراکه فعالکردن قابلیتهای مرتبط با آن برای کاربران عادی بسیار آسان است و میتواند بدون اطلاع آنها، اطلاعاتشان را درمعرض خطر قرار دهد.
تیم otto-js تعداد ۳۰ وبسایت را در بخشها و موضوعات مختلف بررسی کرد و دریافت که ۹۶/۷ درصد آنها اطلاعات محرمانه و شخصی کاربران را به مایکروسافت و گوگل ارسال میکنند. در کمال تعجب، از بین وبسایتهای بررسیشده، تنها وبسایتی که مشکل را برطرف کرده، خودِ گوگل است که آن هم فقط در بعضی از سرویسهایش حل شده است. درحالحاضر، تیم پژوهشی otto-js توصیه میکند تا برطرفشدن کامل مشکل، از استفاده از افزونه و قابلیت مذکور خودداری شود.