Grammarly Chrome扩展的缺陷导致私人文档公开

科技2020-02-25 10:51:21
导读根据一份bug报告,GrammarlyChrome扩展的一个安全缺陷可能无意中让用户的私人文档可以公开访问。谷歌Zero项目的研究人员塔维斯·奥曼迪(Ta

根据一份bug报告,GrammarlyChrome扩展的一个安全缺陷可能无意中让用户的私人文档可以公开访问。

谷歌Zero项目的研究人员塔维斯·奥曼迪(Tavis Ormandy)说,Chrome扩展名的漏洞允许任何网站访问用户的身份验证令牌,然后这些令牌提供了对其私人文档、历史和数据的访问。除了冒着个人信息的风险外,如果黑客是在语法编辑器中编辑的,他们可能已经到达公司文档。


奥曼迪在他的bug报告中说:“我称之为高度严重的bug,因为这似乎相当严重地违反了用户的期望。

这款由超过2200万人安装的分机可以作为从电子邮件到推特的语法检查。该bug只能访问已上载并在语法编辑器中工作的文档。奥曼迪发现,只需要四行代码就能触发缺陷。

语法星期一发布了一个自动更新,以纠正这一问题。Grammarly的一位发言人说,他们没有发现用户数据受到损害的证据。

公司可能希望重新检查他们关于公司设备上使用的扩展的安全策略,或者在处理公司文档时,以确保一切都是安全的。

影子IT近年来不断崛起,越来越多的员工带着自己的软件和插件,而没有先通过IT运行。根据2017年4月的一份Netskope报告,云应用程序采用率的增加是其增长的原因之一。


免责声明:本文由用户上传,如有侵权请联系删除!