Недостаток в расширенном расширении браузера Расширяемые пользовательские документы

Недостаток в расширенном расширении браузера Расширяемые пользовательские документы

Иногда слова сложны, и поэтому около 22 миллионов человек установили расширение Grammarly для Chrome. Грамматически обещает уловить ваши опечатки и грамматические ошибки, но на некоторое время он также подвергал ваши личные документы потенциальному отслеживанию любым посещаемым вами сайтом. Это своего рода нарушение доверия, которое может привести к гибели для запуска.

Грамматически выходит за рамки обычной проверки орфографии, оценивая структуру предложения и использование слов. Он работает на веб-сайтах практически в любом текстовом поле, но есть специальный интерфейс редактирования, если вы хотите пройти через большой блок текста. Грамматика популярна, потому что она может указать на вещи в вашем письме, что вы никогда не заметите себя. Это похоже на то, что у вас есть копирайтер, живущий внутри вашего компьютера, но многие из дополнительных функций требуют платной подписки на услугу.

Полный редактор Grammarly - это то место, где Grammarly столкнулся с проблемой. После ввода текста в редактор недостаток сделал его доступным для всех, кто знал, как его искать. По словам исследователя Google Project Zero Тависа Орманди, расширение имело критическую ошибку, которая выявляла токен пользователя. Это так же хорошо, как передача имени пользователя и пароля.

С вашим токеном авторизации веб-сайт может войти в службу Grammarly, как вы. Это означает, что все ваши документы, сохраненные в Grammarly, будут доступны. Если вы отправили электронное письмо своему адвокату или вашему значительному другому редактору в Grammarly, они выходили на улицу, чтобы кто-нибудь мог ухватиться. К счастью, текст, который вы набрали на других сайтах, которые просто сканировались на лету Граммалли, никогда не подвергался опасности.

Этот код демонстрирует, как веб-сайт может вытащить ваш токен аутентификации из Grammarly.
Этот код демонстрирует, как веб-сайт может вытащить ваш токен аутентификации из Grammarly.

К его чести, Grammarly действовал быстро, когда был предупрежден Project Zero. Разработчики вытолкнули обновление, в котором исправлено дыра в безопасности, в котором были обнаружены токены auth. Компания заявляет, что у нее нет никаких доказательств того, что любые сайты использовали эту уязвимость для кражи данных у пользователей. Это говорит о том, что Тавис Орманди был первым, кто заметил проблему, и это очень важно, потому что Google Project Zero существует.

Если какой-то онлайн-преступник нашел эту дыру перед Орманди, могли бы быть многие расстроенные пользователи грамматики. Вероятно, это был бы конец Grammarly как компании. Итак, нет экстренной ситуации - вам не нужно бегать к компьютеру и ядерно-грамматически. Просто убедитесь, что все ваши расширения Chrome настроены на автоматическое обновление.

Читать далее

Samsung архивирует документы для создания новой фабрики стоимостью 17 миллиардов долларов в США
Samsung архивирует документы для создания новой фабрики стоимостью 17 миллиардов долларов в США

Предыдущие слухи о том, что Samsung может построить завод в США, подтвердились. Компания изучает потенциальные площадки в Нью-Йорке, Техасе и Аризоне с планами построить объект стоимостью 17 миллиардов долларов. Anandtech сообщает, что литейный завод будет запущен к четвертому кварталу 2023 года. Если это правда, то это быстрый рост. Для сравнения, Intel…

Внутренние документы Facebook показывают, что не уверен, что происходит с вашими данными
Внутренние документы Facebook показывают, что не уверен, что происходит с вашими данными

В документе, написанном инженерами по конфиденциальности компании, рассказывается о том, как его дизайн «открытых границ» может быть проблематичным в отношении будущего законодательства, регулирующего то, как компании используют данные клиентов.

Поддермальные чип -имплантаты открывают Teslas, хранить жизненно важные документы
Поддермальные чип -имплантаты открывают Teslas, хранить жизненно важные документы

Некоторые фанаты биомодификации начали имплантировать крошечные чипсы в свою кожу, позволяя им получить доступ к своим транспортным средствам и важным документам с волной руки.

Документы показывают, что Apple осознавала проблемы iPhone 6 «Bendgate» перед запуском
Документы показывают, что Apple осознавала проблемы iPhone 6 «Bendgate» перед запуском

Apple отрицала, что эти проблемы были широко распространены, но она работала над тем, чтобы смягчить их внутренне, в то время как пользователи с газовым освещением.