Chrome：改進的拼字檢查器將您的密碼傳送給 Google

分別來自谷歌和微軟的瀏覽器Chrome和Edge中改進的拼字檢查器存在安全漏洞。事實上，後者將您的個人資料發送到矽谷巨頭的伺服器。

我們懷疑，為了提供像拼字檢查器一樣有用的功能，微軟和谷歌有義務收集統計數據。只要它們是匿名的，就不會有任何問題。但根據電腦安全公司 Otto-js（改進的拼字檢查器）的說法，用戶必須自願啟動，並將線上表單中輸入的資訊發送到Google和微軟伺服器，使網路使用者的個人資料面臨被盜的風險。

付款方式、地址、姓名、出生日期、社會安全或護照號碼：每天，數百萬用戶將他們最個人的資料發送到矽谷巨頭的伺服器。我們可以想像，如果改進的拼字檢查器暴露的安全缺陷被濫用，那麼所有這些資料被盜可能會產生什麼樣的後果。即使是神聖不可侵犯的密碼被暴露。 Otto-js 首席技術長 Josh Summit 表示，如果啟用“顯示密碼”，您的密碼將發送到他們的第三方伺服器。 “令人擔憂的是輕鬆啟動這些功能。用戶會在沒有意識到發生了什麼的情況下啟動它們」。

微軟和谷歌改進的拼字檢查器與非法行為調情

知道如何利用這些缺陷的駭客可以攔截用戶與Google或微軟伺服器之間的通訊。據Otto-js 稱，這兩家公司透過儲存我們問卷中的密碼，犯下了「拼字劫持」（密碼盜用）罪，並且違反了IT 安全的一項名為「需要知道」的基本原則，從而犯下了非法行為。如果所有網站都受到此缺陷的影響，阿里雲服務、Office 365 和谷歌雲尤其容易受到攻擊。從邏輯上講，公共組織和公司，例如微軟是這些攻擊的首選目標。

研究人員透過登入他們的阿里雲帳戶並隨後證明他們的密碼確實已發送到Google的伺服器來證明增強拼字檢查器的危險。在用於支援他們的結論的影片中，他們解釋了公司如何透過這種看似無害的功能公開其基礎設施（伺服器、資料庫、密碼等）。如果糾正這項違規行為的責任因此落在Google和微軟身上，我們不要忘記用戶是其個人資料安全的主要保證者。因此強烈建議不啟用增強拼字檢查並始終安裝最新的 Chrome 更新。

關於同一主題：Microsoft Defender 的可靠性首次低於其他免費防毒軟體

來源：電腦發出蜂鳴聲