BezpečnosťSpravodajstvo

Kombinácia zdanlivo neškodných funkcií v Chrome, dokáže prezradiť vaše prihlasovacie údaje tretej strane. Toto s vypnite!

Mnohé stránky, ktoré otvárame pomocou prehliadača Chrome alebo Edge o nás nevedomky odosielajú citlivé údaje.

Vylepšená kontrola pravopisu prehliadačov Chrome a Edge obsahuje chybu, s ktorou nebude spokojný žiadny používateľ. Výrazne je totiž pri nej narušené súkromie a osobné údaje. Konkrétne ide o údaje, ktoré na stránkach zadávame do polí formulárov. Môže tak ísť o prihlasovacie mená, e-maily, dátumy narodenia, no ale aj o heslá alebo iné citlivé údaje. Na informáciu upozornil analytici z webu otto-js.com.

Výrazný zásah do súkromia

Najviac sa zo všetkých zasielaných údajov riešia heslá, ktoré sú zrejme najrizikovejším údajom, ktorý zadávame na stránkach. Zaujímavý je ale aj spôsob zasielanie hesiel na servery Googlu či Microsoftu. Spôsobovať to má totiž užitočná funkcionalita Zobraziť heslo, ktorú nájdeme na mnohých stránkach v kombinácii s funkciou kontroly pravopisu. Mnohí používatelia ju používajú preto, aby si mohli heslo skontrolovať. Stlačením tohto tlačidla sa zahalené znaky odkryjú. V prehliadačoch Chrome a Edge malo ale toto tlačidlo zároveň slúžiť aj ako tlačidlo odoslania. Rovnako treba uviesť, že nemalá časť používateľov má schovanie hesiel za znaky vypnuté.

Dopady odosielania týchto údajov ale vôbec nemusia ostať na úrovni jedinca. Mnoho firiem využíva napríklad cloudové služby, na ktorých majú uložené množstvo údajov. Bežný zamestnanec tak vie obyčajný prihlásením povoliť prístup k sieti celej firmy a to úplne bez akéhokoľvek vedomia. Najohrozenejšími stránkami sa preto stali weby ako Office 365, Alibaba – Cloud Service, Google Cloud – Secret Manager, AWS – Secrets Manager a LastPass. Dvojica na konci zoznamu už stihla na tento problém zareagovať a úspešne ho vyriešila.

Vedúci pracovník ochrany firmy LastPass, Christopher Hoff sa dokonca k situácii vyjadril. Znepokojilo ho najmä to, že takýto obrovský únik vie spôsobiť kombinácia dvoch neškodných funkcií.

Je znepokojujúce, že zákazníci môžu neúmyselne odhaliť dôverné údaje povolením neškodných funkcií prehliadača a nerozumejú tomu, že čokoľvek čo zadajú – vrátane hesiel – môže viesť k odoslaniu týchto údajov tretím stranám.

Neškodná kombinácia funkcií

Funkciu Zobraziť heslo určite pozná každý. Najmä pri zložitých heslách ide o mimoriadne užitočnú funkciu, ktorú využívame už roky. No a vylepšená kontrola pravopisu vždy padne vhod. Odhalenie chýb je o čosi intuitívnejšie a rýchlejšie, čo zvyšuje efektivitu pri každodennej práci. Kto by ale povedal, že kombinácia týchto neškodných funkcií vytvorí neuveriteľný zásah do súkromia nielen jednotlivcov, ale celých firiem.

Web otto-js.com sa preto zameral aj na ďalšie stránky, ktoré pre svoje fungovanie potrebujú citlivé údaje a zisťoval, či tieto údaje zasiela Googlu/Microsoftu alebo nie. Otestovaných bolo 30 stránok v oblastiach ako online bankovníctvo, cloudové služby, zdravotná starostlivosť či sociálne médiá. 96,7 percenta stránok poslalo osobné údaje Googlu alebo Microsoftu. Jediný web, ktorý zabránil odoslaniu údajov v istých prípadoch bol paradoxne Google. Aj to ale záviselo od konkrétnej Google služby. Niektoré totiž údaje odosielali a iné zas nie.

A aj keď Google a Microsoft berieme ako dôveryhodné spoločnosti, tak rozhodne s nimi nechceme zdieľať údaje, ktoré sú určené na komunikáciu medzi nami a webom, ktorý navštevujeme. Bude preto určite zaujímavé sledovať to, ako na túto situáciu zareagujú títo dvaja technologickí giganti. Aktuálne preto stojí za zváženie, či nie je lepšie mať tieto funkcie vypnuté.

Tagy
Zobraziť komentáre
Close
Close