Известный ИБ-эксперт, специалист Google Project Zero Тевис Орманди (Tavis Ormandy) обнаружил, что популярное расширение Grammarly, предназначенное для проверки правописания в Chrome, по ошибке предоставляло третьим сторонам доступ к пользовательским данным.
Орманди объясняет, что суть «критической проблемы» заключается в том, что расширение, которое применяют более 20 млн пользователей Chrome и 645 000 пользователей Firefox, написано очень плохо и, в частности, предоставляет посторонним сайтам доступ к аутентификационным токенам своих пользователей.
В итоге, если пользователь Grammarly попадет на вредоносный сайт, злоумышленники могут завладеть токенами и использовать их для входа в учетную запись Grammarly.com. После этого в распоряжении атакующих окажутся конфиденциальные данные пострадавших, в том числе «документы, логи, история браузера и прочая информация».
«Я считаю это проблему критической, так как это критическое нарушение пользовательских ожиданий. Вряд ли пользователи ожидают, что посещая какой-либо сайт, они дают ему разрешение на доступ к своим документам или иным данным, которые они писали на других сайтах», — говорит Орманди.
Хотя Орманди пишет, что перед публикацией информации о проблеме он предоставил разработчикам Grammarly положенные 90 дней для исправления уязвимости, сами представители Grammarly уверяют, что баг был устранен «за считанные часы», еще в конце прошлой недели, и обновленная версия уже распространена для всех пользователей:
We were made aware of a security issue with our extension on Friday and worked with Google to roll out a fix within a few hours.
— Grammarly (@Grammarly) February 5, 2018
Thank you to @taviso and the team for finding and educating the community about the complexities of this bug. We will provide more updates soon.
Также разработчики инструмента для проверки правописания отмечают, что проблему не эксплуатировали злоумышленники, а потенциальная утечка данных затрагивала только информацию, сохраненную в Grammarly Editor, но не касалась Grammarly Keyboard, аддона Grammarly для Microsoft Office и любых текстовых данных, которые пользователи расширения для Chrome вводили на сайтах.