»Napaka resnosti« v razširitvah brskalnika Grammarly ogroža zasebnost uporabnikov
Milijoni Grammarly[1] Uporabniki preverjanja črkovanja, slovnice in jezika, ki so namestili razširitve za Chrome ali Firefox, so lahko v nevarnosti. V aplikaciji za preverjanje slovnice je bila zaznana »napaka resnosti«, ki omogoča krajo žetonov za preverjanje pristnosti na spletnih mestih. To pomeni, da lahko napadalci dobijo dostop do vseh podatkov, ki so jih uporabniki naložili v aplikacijo.
Googlov raziskovalec Project Zero Tavis Ormandy[2] odkrili napako v razširitvi za Google Chrome, ki ima približno 22 milijonov uporabnikov. Nadaljnja preiskava je pokazala, da ista težava obstaja v različici dodatka za Firefox.
Po nekaterih virih je bila razširitev Grammarly Firefox nameščena približno 1.000.000-krat. Medtem naj bi razširitev za Chrome imela več kot 10.000.000 namestitev.[3] Zato, če uporabljate to aplikacijo za preverjanje jezika, je bolje, da se prepričate, da uporabljate najnovejšo različico. Razvijalci so že zagotovili popravke ranljivosti.[4]
Za ogrožanje uporabniških podatkov so potrebne le štiri vrstice kode
Samo preverjanje pristnosti je kriptografski niz, ki ga nastavi strežnik in deluje kot piškotek brskalnika, ki se nastavi takoj, ko se prijavite na spletno mesto. Nato brskalnik pošlje nazaj informacije strežniku, ki obvešča, da ste vi tisti, ki nadaljujete z brskanjem in uporabo spletnega mesta. Zaradi tega se vam ni treba prijaviti vsakič, ko kliknete določene gumbe ali obiščete nove strani na istem spletnem mestu.
Vendar pa napaka v Grammarlyju omogoča napadalcem, da ukradejo uporabniške žetone in dostopajo do spletnih mest, ki se pretvarjajo, da ste vi. Da bi to naredili, morajo napadalci uporabiti samo štiri vrstice kode ročno ali s pomočjo skripta.
Ta koda ustvari žeton, ki se ujema s piškotkom Grammarly. Takoj, ko se uporabnik prijavi v svoj račun prek grammarly.com, lahko tretje osebe ukradejo žeton za preverjanje pristnosti in ga uporabijo. Posledično napadalci pretentajo strežnik, da ste vi tisti, ki uporabljate spletno mesto in pridobijo dostop do vaših podatkov:
[Vsako] spletno mesto se lahko prijavi v grammarly.com kot vi in dostopa do vseh vaših dokumentov, zgodovine, dnevnikov in vseh drugih podatkov. Temu pravim hrošča visoke resnosti, ker se zdi precej huda kršitev pričakovanj uporabnikov.
Upoštevajte, da program ne zbira samo različnih podatkov o vas (upamo, da ste prebrali njihovo politiko zasebnosti[5]), lahko pa shranite kopije vaših preverjenih člankov, dokumentov, pisem in drugih besedil, tukaj pa ste morda vključili nekaj zanimivih ali občutljivih informacij za napadalce.
22 milijonov uporabnikov Grammarlyja je opozorjeno, naj posodobijo razširitev
Grammarly je bil obveščen o težavi in je hitro predstavil posodobitev v spletni trgovini Chrome. Zato se morajo uporabniki prepričati, da uporabljajo posodobljeno različico razširitve Grammarly Chrome (14.826.1446 ali novejšo).
Razvijalci Mozilla Firefox so tudi popravili to varnostno ranljivost. Kljub temu bi morali uporabniki prejeti samodejno posodobitev; še vedno priporočamo, da preverite, ali uporabljajo različico 8.804.1449 (ali novejšo) različico dodatka, da se izognete morebitnemu uhajanju podatkov.