Известный ИБ-эксперт, специалист Google Project Zero Тевис Орманди (Tavis Ormandy) обнаружил, что популярное расширение Grammarly, предназначенное для проверки правописания в Chrome, по ошибке предоставляло третьим сторонам доступ к пользовательским данным.

Орманди объясняет, что суть «критической проблемы» заключается в том, что расширение, которое применяют более 20 млн пользователей Chrome и 645 000 пользователей Firefox, написано очень плохо и, в частности, предоставляет посторонним сайтам доступ к аутентификационным токенам своих пользователей.

В итоге, если пользователь Grammarly попадет на вредоносный сайт, злоумышленники могут завладеть токенами и использовать их для входа в учетную запись Grammarly.com. После этого в распоряжении атакующих окажутся конфиденциальные данные пострадавших, в том числе «документы, логи, история браузера и прочая информация».

«Я считаю это проблему критической, так как это критическое нарушение пользовательских ожиданий. Вряд ли пользователи ожидают, что посещая какой-либо сайт, они дают ему разрешение на доступ к своим документам или иным данным, которые они писали на других сайтах», — говорит Орманди.

Хотя Орманди пишет, что перед публикацией информации о проблеме он предоставил разработчикам Grammarly положенные 90 дней для исправления уязвимости, сами представители Grammarly уверяют, что баг был устранен «за считанные часы», еще в конце прошлой недели, и обновленная версия уже распространена для всех пользователей:

Также разработчики инструмента для проверки правописания отмечают, что проблему не эксплуатировали злоумышленники, а потенциальная утечка данных затрагивала только информацию, сохраненную в Grammarly Editor, но не касалась Grammarly Keyboard, аддона Grammarly для Microsoft Office и любых текстовых данных, которые пользователи расширения для Chrome вводили на сайтах. 

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    1 Комментарий
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии