安全企业otto(otto-js)上周提醒,若在Chrome浏览器中激活高端拼字检查(Enhanced Spellcheck),或是在微软的Microsoft Edge中激活Microsoft Editor,那么浏览器就会将用户于网站字段中所输入的资料发送给Google及微软,倘若输入的是密码,而且点击了“显示密码”(Show Password),那么连密码都会被送出去。
高端拼字检查是Chrome的功能之一,它会把用户于浏览器中所输入的文本发送给Google,再使用与Google搜索相同的拼字检查技术,来提供拼字建议,其默认值是关闭的。至于Microsoft Editor则是微软所开发的Chrome与Edge扩展程序,它会检查用户的单词及文法,还能修饰用户的写作风格。
然而,otto却发现,为了改善用户的拼字或文法,这两个功能都会将用户所输入的资料回传到它们的服务器进行检查,也许用户是在编辑文件时激活该功能,但若忘了关闭它,之后切换到其它网站时,一样会送出用户所输入的资料,像是用户名、电子邮件账号、生日或社会安全码,更严重的是,倘若网站提供了“显示密码”的功能,而且用户点击了该功能,那明文密码也同样也会送出去。
otto把该安全威胁称为“拼字劫持”(Spell-Jacking),针对超过50个网站进行测试,并把其中的30个列为对照组,这30个网站分为6大类,包括网络银行、线上办公室工具、健康看护、政府、社交媒体及电子商务,发现其中高达96.7%都会把用户输入的个人资料发送给Google及微软(下图左),也有73%会把密码送出去(下图右),总之,绝大多数都已沦为拼字劫持的受害者,而超过20%没有送出密码的并不是因为它们未被劫持,而是这些网站上并未提供“显示密码”功能。
图片来源/otto
此外,不管是微软自己的Office 365、阿里巴巴的云计算服务、Google Cloud(下图所示)、AWS或LastPass都暴露在该拼字劫持的风险中,其中的AWS与LastPass已缓解了该问题。
图片来源/otto
otto指出,就算Google与微软都算是值得信赖的企业,但机密资料的外泄却是不争的事实。各家网站为了避免外泄用户的个人资料,应该要在特定或所有字段上以”spellcheck=false”来关闭拼字检查功能,或是借由终端安全工具来关闭或禁止用户安装白名单以外的扩展程序。