פגיעות קריטית של דקדוק מאפשרת גניבת מידע של המשתמש

MiscellaneaDec 20, 2021

"באג חומרה" בתוספי דפדפן Grammarly מסכן את פרטיות המשתמש

פגיעות קריטית של דקדוק מאפשרת גניבת מידע של המשתמש

מיליוני דקדוק[1] משתמשי בודק האיות, הדקדוק והשפה שהתקינו הרחבות של Chrome או Firefox עלולים להיות בסכנה. זוהה "באג חומרה" באפליקציית בדיקת הדקדוק המאפשרת גניבת אסימוני אימות לאתרי אינטרנט. המשמעות היא שתוקפים יכולים לקבל גישה לכל הנתונים שהמשתמשים העלו לאפליקציה.

חוקר Project Zero של גוגל Tavis Ormandy[2] גילה פגם בתוסף Google Chrome שיש לו כ-22 מיליון משתמשים. החקירה הנוספת העלתה שאותה בעיה קיימת בגרסת Firefox של התוסף.

לפי מקורות מסוימים, תוסף Grammarly Firefox הותקנה כ-1,000,000 פעמים. בינתיים, על התוסף של Chrome יש יותר מ-10,000,000 התקנות.[3] לכן, אם אתה משתמש באפליקציית בדיקת השפה הזו, עדיף לוודא שאתה משתמש בגרסה העדכנית ביותר. מפתחים כבר סיפקו תיקוני פגיעות.[4]

נדרשות רק ארבע שורות קוד כדי לסכן את המידע של המשתמש

האימות עצמו הוא מחרוזת קריפטוגרפית אשר מוגדרת על ידי שרת ופועלת כקובץ Cookie של דפדפן אשר מוגדר ברגע שאתה נכנס לאתר. לאחר מכן, הדפדפן שולח מידע חזרה לשרת ומודיע כי זה אתה שממשיך לגלוש ולהשתמש באתר. מסיבה זו, אינך צריך להתחבר בכל פעם שאתה לוחץ על כפתורים מסוימים או מבקר בדפים חדשים באותו אתר.

עם זאת, הפגם ב- Grammarly מאפשר לתוקפים לגנוב אסימונים של המשתמשים ולגשת לאתרי אינטרנט המתחזות להיות אתה. על מנת לעשות זאת, התוקפים צריכים להשתמש רק בארבע שורות קוד או ידנית או באמצעות סקריפט.

קוד זה יוצר אסימון התואם לעוגייה Grammarly. ברגע שמשתמש נכנס לחשבון שלו דרך grammarly.com, ניתן לגנוב אסימון אימות ולהשתמש בו על ידי צדדים שלישיים. כתוצאה מכך, תוקפים מרמים את השרת בכך שזה אתה המשתמש באתר ומקבלים גישה למידע שלך:

[כל] אתר אינטרנט יכול להיכנס ל-grammarly.com כמוך ולגשת לכל המסמכים, ההיסטוריה, היומנים וכל הנתונים האחרים שלך. אני קורא לזה באג בחומרה גבוהה, כי זה נראה כמו הפרה די חמורה של ציפיות המשתמש.

זכור כי התוכנית לא רק אוספת מידע שונה עליך (אנו מקווים שאתה קורא את מדיניות הפרטיות שלה[5]), אך עשוי לשמור עותקים של המאמרים שבדקתם, המסמכים, המכתבים ושאר הטקסטים, וכאן אולי כללת מידע מעניין או רגיש עבור התוקפים.

22 מיליון משתמשי Grammarly מוזהרים לעדכן את התוסף

Grammarly קיבל מידע על בעיה והציג במהירות עדכון בחנות האינטרנט של Chrome. לפיכך, על המשתמשים לוודא שהם משתמשים בגרסה מעודכנת של תוסף Grammarly Chrome (14.826.1446 ומעלה).

מפתחי Mozilla Firefox תיקנו גם את פגיעות האבטחה הזו. עם זאת, המשתמשים צריכים לקבל עדכון אוטומטי; עדיין מומלץ לבדוק אם הם משתמשים בגרסת 8.804.1449 (או חדשה יותר) של התוסף כדי למנוע דליפת נתונים אפשרית.