„Chyba závažnosti“ v rozšíreniach prehliadača Grammarly ohrozuje súkromie používateľa
Milióny gramatiky[1] Používatelia kontroly pravopisu, gramatiky a jazyka, ktorí si nainštalovali rozšírenia pre Chrome alebo Firefox, môžu byť ohrození. V aplikácii na kontrolu gramatiky bola zistená „chyba závažnosti“, ktorá umožňuje kradnúť webovým stránkam autentifikačné tokeny. Znamená to, že útočníci môžu získať prístup ku všetkým údajom, ktoré používatelia nahrali do aplikácie.
Výskumník projektu Google Project Zero Tavis Ormandy[2] objavil chybu v rozšírení Google Chrome, ktoré má približne 22 miliónov používateľov. Ďalšie vyšetrovanie odhalilo, že rovnaký problém existuje aj vo verzii doplnku Firefox.
Podľa niektorých zdrojov bolo rozšírenie Grammarly Firefox nainštalované asi 1 000 000-krát. Medzitým sa uvádza, že rozšírenie Chrome má viac ako 10 000 000 inštalácií.[3] Preto, ak používate túto aplikáciu na kontrolu jazyka, je lepšie sa uistiť, že používate najnovšiu verziu. Vývojári už poskytli opravy zraniteľností.[4]
Na kompromitáciu informácií používateľa sú potrebné iba štyri riadky kódu
Samotná autentifikácia je kryptografický reťazec, ktorý je nastavený serverom a funguje ako súbor cookie prehliadača, ktorý sa nastaví hneď, ako sa prihlásite na webovú stránku. Prehliadač potom odošle serveru späť informácie o tom, že ste to vy, kto pokračuje v prehliadaní a používaní stránky. Z tohto dôvodu sa nemusíte prihlasovať zakaždým, keď kliknete na konkrétne tlačidlá alebo navštívite nové stránky na tej istej webovej lokalite.
Chyba v Grammarly však umožňuje útočníkom ukradnúť tokeny používateľov a pristupovať na webové stránky, ktoré predstierajú, že ste vy. Na to útočníkom stačí použiť štyri riadky kódu buď manuálne, alebo pomocou skriptu.
Tento kód generuje token, ktorý sa zhoduje s Grammarly cookie. Hneď ako sa používateľ prihlási do svojho účtu cez Gramaly.com, overovací token môže byť odcudzený a použitý tretími stranami. Výsledkom je, že útočníci oklamú server, že ste to vy, kto používa stránku, a získajú prístup k vašim informáciám:
[A]ktorákoľvek webová stránka sa môže prihlásiť na stránku Gramatika.com ako vy a získať prístup ku všetkým vašim dokumentom, histórii, protokolom a všetkým ostatným údajom. Nazývam to veľmi závažnou chybou, pretože to vyzerá ako dosť vážne porušenie očakávaní používateľov.
Majte na pamäti, že program o vás nielen zhromažďuje rôzne informácie (dúfame, že ste si prečítali ich Zásady ochrany osobných údajov[5]), ale mohli by ste uložiť kópie vašich skontrolovaných článkov, dokumentov, listov a iných textov a tu ste mohli uviesť niektoré zaujímavé alebo citlivé informácie pre útočníkov.
22 miliónov používateľov Grammarly je upozornených na aktualizáciu rozšírenia
Spoločnosť Grammarly bola informovaná o probléme a rýchlo predstavila aktualizáciu v Internetovom obchode Chrome. Používatelia sa preto musia uistiť, že používajú aktuálnu verziu rozšírenia Grammarly Chrome (14.826.1446 alebo novšiu).
Vývojári Mozilla Firefox tiež opravili túto bezpečnostnú chybu. Používatelia by však mali dostávať automatickú aktualizáciu; stále sa odporúča skontrolovať, či používajú verziu 8.804.1449 (alebo novšiu) verziu doplnku, aby sa predišlo možnému úniku údajov.