Nhóm nghiên cứu otto-js đã đăng tải một bài mô tả việc sử dụng các tính năng kiểm tra chính tả nâng cao của Google Chrome hoặc Microsoft Edge có thể vô tình truyền mật khẩu và thông tin nhận dạng cá nhân (PII – personally identifiable information) đến các máy chủ cloud của bên thứ ba.
Trong quá trình thử nghiệm, otto-js nhận thấy rằng sự kết hợp phù hợp của các tính năng trong công cụ kiểm tra chính tả nâng cao của Chrome hoặc MS Editor của Edge sẽ vô tình làm lộ dữ liệu trường chứa PII và các thông tin nhạy cảm khác, gửi dữ liệu đó trở lại máy chủ của Microsoft và Google. Cả hai trình duyệt đều yêu cầu người dùng thực hiện hành động để kích hoạt tính năng này và sau khi được bật, người dùng thường không biết rằng dữ liệu của họ đang được chia sẻ với các bên thứ ba. Lỗ hổng không chỉ khiến thông tin cá nhân của người dùng bị lộ lọt mà còn có thể giúp kẻ xấu có được thông tin xác thực quản trị của tổ chức và các thông tin liên quan đến các cơ sở hạ tầng khác.
Ngoài dữ liệu thực tế, nhóm otto-js cũng phát hiện ra mật khẩu người dùng có thể bị lộ thông qua tùy chọn đặt mật khẩu ở chế độ xem (view password). Tùy chọn này có chức năng hỗ trợ người dùng trong việc đảm bảo mật khẩu không bị nhập sai, vô tình làm lộ mật khẩu cho máy chủ của bên thứ ba thông qua các chức năng kiểm tra chính tả nâng cao.
Cả người dùng cá nhân và các tổ chức doanh nghiệp đều bị ảnh hưởng bởi lỗ hổng này. Nhóm otto-js đã cung cấp các ví dụ sau để cho thấy cách người dùng đăng nhập vào các dịch vụ đám mây và tài khoản cơ sở hạ tầng trong khi thông tin xác thực tài khoản của họ vô tình bị chuyển đến máy chủ của Microsoft hoặc Google.
Hình ảnh trên cho thấy một lần đăng nhập tài khoản Alibaba Cloud. Khi đăng nhập qua Chrome, chức năng kiểm tra chính tả nâng cao sẽ chuyển thông tin yêu cầu đến các máy chủ dựa trên Google mà không cần sự ủy quyền của quản trị viên. Như được thấy trong ảnh chụp màn hình bên dưới, thông tin yêu cầu này bao gồm mật khẩu thực được nhập để đăng nhập vào cloud của công ty. Việc truy cập vào loại thông tin này có thể dẫn tới bất nhiều nguy cơ như dữ liệu khách hàng và công ty bị đánh cắp đến sự xâm phạm hoàn toàn của cơ sở hạ tầng quan trọng.
Nhóm otto-js đã tiến hành thử nghiệm và phân tích trên nhiều nhóm, như: truyền thông xã hội, công cụ văn phòng, chăm sóc sức khỏe, chính phủ, thương mại điện tử và dịch vụ ngân hàng/tài chính. Hơn 96% trong số 30 nhóm được kiểm tra đã gửi dữ liệu trở lại Microsoft và Google. 73% trong số các trang web và nhóm đó đã gửi mật khẩu đến máy chủ của bên thứ ba khi tùy chọn “hiển thị mật khẩu” được bật. Những trang web không có chức năng đặt mật khẩu ở chế độ xem thì không nhất thiết phải có biện pháp giảm thiểu.
Các chuyên gia đã liên hệ với Microsoft 365, Alibaba Cloud, Google Cloud, AWS và LastPass, là đại diện cho năm trang web và nhà cung cấp các dịch vụ đám mây hàng đầu. Theo các bản cập nhật, cả AWS và LastPass đều đã phản hồi và cho biết rằng lỗi này đã được khắc phục thành công.
Nguồn: TechSpot