„Grammarly“ naršyklės plėtinių „sunkumo klaida“ kelia pavojų vartotojo privatumui
Milijonai gramatikos[1] rašybos, gramatikos ir kalbos tikrinimo programos naudotojams, įdiegusiems „Chrome“ arba „Firefox“ plėtinius, gali kilti pavojus. Gramatikos tikrinimo programoje aptikta „sunkumo klaida“, leidžianti pavogti svetainių autentifikavimo prieigos raktus. Tai reiškia, kad užpuolikai gali gauti prieigą prie visų duomenų, kuriuos vartotojai įkėlė į programą.
„Google“ projekto „Zero“ tyrėjas Tavis Ormandy[2] aptiko „Google Chrome“ plėtinio, turinčio apie 22 mln. vartotojų, trūkumą. Tolesnis tyrimas atskleidė, kad ta pati problema egzistuoja „Firefox“ priedo versijoje.
Kai kurių šaltinių teigimu, „Grammarly Firefox“ plėtinys buvo įdiegtas apie 1 000 000 kartų. Tuo tarpu teigiama, kad „Chrome“ plėtinys įdiegtas daugiau nei 10 000 000 kartų.[3] Todėl, jei naudojate šią kalbos tikrinimo programą, geriau įsitikinkite, kad naudojate naujausią versiją. Kūrėjai jau pateikė pažeidžiamumo pataisas.[4]
Pakanka keturių kodo eilučių, kad būtų pažeista vartotojo informacija
Pats autentifikavimas yra kriptografinė eilutė, kurią nustato serveris ir veikia kaip naršyklės slapukas, kuris nustatomas iškart jums prisijungus prie svetainės. Tada naršyklė siunčia atgal informaciją serveriui, informuodama, kad toliau naršote ir naudojatės svetainėje. Dėl šios priežasties jums nereikia prisijungti kiekvieną kartą, kai paspaudžiate tam tikrus mygtukus arba apsilankote naujuose tos pačios svetainės puslapiuose.
Tačiau „Grammarly“ trūkumas leidžia užpuolikams pavogti naudotojo žetonus ir pasiekti svetaines, apsimetančias jumis. Kad tai padarytų, užpuolikams tereikia naudoti keturias kodo eilutes rankiniu būdu arba naudojant scenarijų.
Šis kodas sugeneruoja prieigos raktą, atitinkantį Grammarly slapuką. Kai tik vartotojas prisijungia prie savo paskyros per grammarly.com, autentifikavimo prieigos raktas gali būti pavogtas ir panaudotas trečiųjų šalių. Dėl to užpuolikai apgaudinėja serverį, kad svetaine naudojatės jūs ir gauna prieigą prie jūsų informacijos:
[Bet kuri svetainė gali prisijungti prie grammarly.com kaip jūs ir pasiekti visus jūsų dokumentus, istoriją, žurnalus ir visus kitus duomenis. Aš tai vadinu labai rimta klaida, nes atrodo, kad tai gana rimtas vartotojo lūkesčių pažeidimas.
Atminkite, kad programa ne tik renka įvairią informaciją apie jus (tikimės, kad perskaitėte jų privatumo politiką[5]), tačiau galite išsaugoti patikrintų straipsnių, dokumentų, laiškų ir kitų tekstų kopijas, o čia galbūt įtraukėte įdomios ar neskelbtinos informacijos užpuolikams.
22 milijonai „Grammarly“ vartotojų įspėjami atnaujinti plėtinį
Grammarly buvo informuotas apie problemą ir greitai pristatė naujinį „Chrome“ internetinėje parduotuvėje. Todėl vartotojai turi įsitikinti, kad naudoja atnaujintą „Grammarly Chrome“ plėtinio versiją (14.826.1446 arba naujesnę).
„Mozilla Firefox“ kūrėjai taip pat pataisė šią saugos spragą. Nepaisant to, vartotojai turėtų gauti automatinį atnaujinimą; vis tiek rekomenduojama patikrinti, ar jie naudoja 8.804.1449 (ar naujesnę) priedo versiją, kad būtų išvengta galimo duomenų nutekėjimo.