Kritická zranitelnost Grammarly umožňuje krádež informací uživatele

„Chyba závažnosti“ v rozšířeních prohlížeče Grammarly ohrožuje soukromí uživatelů

Kritická zranitelnost Grammarly umožňuje krádež informací uživatele

Miliony gramatiky[1] Uživatelé kontroly pravopisu, gramatiky a jazyka, kteří si nainstalovali rozšíření pro Chrome nebo Firefox, mohou být v nebezpečí. Byla zjištěna „chyba závažnosti“ v aplikaci pro kontrolu gramatiky, která umožňuje krást ověřovací tokeny webům. To znamená, že útočníci mohou získat přístup ke všem datům, která uživatelé nahráli do aplikace.

Tavis Ormandy, výzkumník projektu Google Project Zero[2] objevili chybu v rozšíření Google Chrome, které má asi 22 milionů uživatelů. Další vyšetřování odhalilo, že stejný problém existuje ve verzi doplňku pro Firefox.

Podle některých zdrojů bylo rozšíření Grammarly Firefox nainstalováno asi 1 000 000krát. Mezitím se uvádí, že rozšíření Chrome má více než 10 000 000 instalací.[3] Pokud tedy používáte tuto aplikaci pro kontrolu jazyka, je lepší se ujistit, že používáte nejnovější verzi. Vývojáři již poskytli opravy zranitelnosti.[4]

Ke kompromitaci uživatelských informací stačí pouze čtyři řádky kódu

Samotná autentizace je kryptografický řetězec, který je nastaven serverem a funguje jako cookie prohlížeče, který je nastaven, jakmile se přihlásíte na webovou stránku. Prohlížeč poté odešle serveru zpět informace o tom, že jste to vy, kdo pokračuje v procházení a používání webu. Z tohoto důvodu se nemusíte přihlašovat pokaždé, když kliknete na určitá tlačítka nebo navštívíte nové stránky na stejném webu.

Chyba v Grammarly však umožňuje útočníkům krást uživatelské tokeny a přistupovat na webové stránky, které se za vás vydávají. K tomu útočníkům stačí použít čtyři řádky kódu buď ručně, nebo pomocí skriptu.

Tento kód generuje token, který odpovídá Grammarly cookie. Jakmile se uživatel přihlásí ke svému účtu přes Gramaly.com, ověřovací token může být odcizen a použit třetími stranami. Výsledkem je, že útočníci oklamou server, že jste to vy, kdo používáte web, a získají přístup k vašim informacím:

[]Jakákoli webová stránka se může přihlásit na Gramaly.com jako vy a přistupovat ke všem vašim dokumentům, historii, protokolům a všem dalším datům. Říkám tomu velmi závažná chyba, protože to vypadá jako docela vážné porušení očekávání uživatelů.

Mějte na paměti, že program o vás nejen shromažďuje různé informace (doufáme, že jste si přečetli jejich Zásady ochrany osobních údajů[5]), ale můžete uložit kopie vašich kontrolovaných článků, dokumentů, dopisů a dalších textů a zde jste možná zahrnuli některé zajímavé nebo citlivé informace pro útočníky.

22 milionů uživatelů Grammarly je varováno, aby rozšíření aktualizovali

Společnost Grammarly byla informována o problému a rychle představila aktualizaci v internetovém obchodě Chrome. Uživatelé se proto musí ujistit, že používají aktuální verzi rozšíření Grammarly Chrome (14.826.1446 nebo novější).

Vývojáři Mozilla Firefox také opravili tuto bezpečnostní chybu. Uživatelé by však měli obdržet automatickou aktualizaci; stále se doporučuje zkontrolovat, zda používají verzi 8.804.1449 (nebo novější) verzi doplňku, aby se zabránilo možnému úniku dat.