კრიტიკული გრამატიკული დაუცველობა საშუალებას გაძლევთ მოიპაროთ მომხმარებლის ინფორმაცია

Grammarly ბრაუზერის გაფართოებებში „სიმძიმის შეცდომა“ აყენებს მომხმარებლის კონფიდენციალურობას საფრთხეში

კრიტიკული გრამატიკული დაუცველობა საშუალებას გაძლევთ მოიპაროთ მომხმარებლის ინფორმაცია

მილიონობით გრამატიკა[1] მართლწერის, გრამატიკისა და ენის შემმოწმებლის მომხმარებლებს, რომლებმაც დააინსტალირეს Chrome ან Firefox გაფართოებები, შესაძლოა საფრთხე შეექმნას. გრამატიკის შემოწმების აპლიკაციაში გამოვლინდა „სიმძიმის ხარვეზი“, რომელიც საშუალებას გაძლევთ მოიპაროთ ავთენტიფიკაციის ნიშნები ვებსაიტებზე. ეს ნიშნავს, რომ თავდამსხმელებს შეუძლიათ მიიღონ წვდომა აპში ატვირთული მომხმარებლის ყველა მონაცემზე.

Google-ის Project Zero-ს მკვლევარი ტევის ორმანდი[2] აღმოაჩინა ხარვეზი Google Chrome-ის გაფართოებაში, რომელსაც დაახლოებით 22 მილიონი მომხმარებელი ჰყავს. შემდგომმა გამოძიებამ აჩვენა, რომ იგივე პრობლემა არსებობს Firefox-ის დანამატის ვერსიაში.

ზოგიერთი წყაროს თანახმად, Grammarly Firefox გაფართოება დაინსტალირებული იყო დაახლოებით 1,000,000-ჯერ. იმავდროულად, Chrome-ის გაფართოებას აქვს 10,000,000-ზე მეტი ინსტალაცია.[3] ამიტომ, თუ იყენებთ ამ ენის შემოწმების აპს, უმჯობესია დარწმუნდეთ, რომ იყენებთ უახლეს ვერსიას. დეველოპერებმა უკვე მიაწოდეს დაუცველობის პატჩები.[4]

მომხმარებლის ინფორმაციის კომპრომისისთვის საჭიროა მხოლოდ ოთხი კოდის ხაზი

ავთენტიფიკაცია თავისთავად არის კრიპტოგრაფიული სტრიქონი, რომელიც დაყენებულია სერვერის მიერ და მუშაობს როგორც ბრაუზერის ქუქი, რომელიც დაყენებულია საიტზე შესვლისთანავე. შემდეგ ბრაუზერი უგზავნის ინფორმაციას სერვერს და აცნობებს, რომ თქვენ აგრძელებთ საიტის დათვალიერებას და გამოყენებას. ამ მიზეზით, თქვენ არ გჭირდებათ ყოველ ჯერზე შესვლა, როდესაც დააწკაპუნებთ კონკრეტულ ღილაკებზე ან ეწვიეთ ახალ გვერდებს იმავე ვებსაიტზე.

თუმცა, Grammarly-ის ხარვეზი საშუალებას აძლევს თავდამსხმელებს მოიპარონ მომხმარებლის ტოკენები და შევიდნენ ვებსაიტებზე, რომლებიც თითქოს თქვენ ხართ. ამისათვის თავდამსხმელებმა უნდა გამოიყენონ კოდის მხოლოდ ოთხი ხაზი ხელით ან სკრიპტის გამოყენებით.

ეს კოდი ქმნის ჟეტონს, რომელიც ემთხვევა Grammarly ქუქი-ფაილს. როგორც კი მომხმარებელი შედის მის ანგარიშში grammarly.com-ის საშუალებით, ავთენტიფიკაციის ჟეტონი შეიძლება მოიპაროს და გამოიყენოს მესამე მხარეებმა. შედეგად, თავდამსხმელები ატყუებენ სერვერს, რომ ეს თქვენ იყენებთ საიტს და იღებთ წვდომას თქვენს ინფორმაციაზე:

[ნებისმიერ ვებსაიტს შეუძლია შევიდეს grammarly.com-ზე, როგორც თქვენ და წვდომა ჰქონდეს თქვენს ყველა დოკუმენტს, ისტორიას, ჟურნალს და ყველა სხვა მონაცემს. მე ამას ვეძახი მაღალი სიმძიმის შეცდომას, რადგან, როგორც ჩანს, მომხმარებლის მოლოდინების საკმაოდ მძიმე დარღვევაა.

გაითვალისწინეთ, რომ პროგრამა არა მხოლოდ აგროვებს თქვენს შესახებ სხვადასხვა ინფორმაციას (ვიმედოვნებთ, წაიკითხავთ მათ კონფიდენციალურობის პოლიტიკას[5]), მაგრამ შეიძლება შეინახოთ თქვენი შემოწმებული სტატიების, დოკუმენტების, წერილების და სხვა ტექსტების ასლები და აქ თქვენ შეიძლება შეიტანეთ თავდამსხმელებისთვის საინტერესო ან მგრძნობიარე ინფორმაცია.

Grammarly-ის 22 მილიონი მომხმარებელი გაფრთხილებულია გაფართოების განახლებისთვის

Grammarly იყო ინფორმირებული პრობლემის შესახებ და სწრაფად წარმოადგინა განახლება Chrome Web Store-ში. აქედან გამომდინარე, მომხმარებლებმა უნდა დარწმუნდნენ, რომ ისინი იყენებენ Grammarly Chrome გაფართოების განახლებულ ვერსიას (14.826.1446 ან უფრო ახალი).

Mozilla Firefox-ის დეველოპერებმა ასევე გაასწორეს უსაფრთხოების ეს დაუცველობა. მიუხედავად ამისა, მომხმარებლებმა უნდა მიიღონ ავტომატური განახლება; კვლავ რეკომენდირებულია შეამოწმოთ, იყენებენ თუ არა ისინი დანამატის 8.804.1449 ვერსიას (ან უფრო ახალ) ვერსიას, რათა თავიდან აიცილოთ მონაცემთა შესაძლო გაჟონვა.