افزونه کروم Grammarly اطلاعات خصوصی کاربران را فاش کرد
Grammarly باگ امنیتی موجود در افزونه کروم که باعث ایجاد دسترسی به اکانت کاربران می شد را رفع کرد. این دسترسی شامل اسناد و داده های کاربران می شد.
گویا آی تی – Travis Ormandy یک محقق امنیت وب از Project Zero گوگل موفق به کشف این باگ “خیلی خطرناک” شده است. وی می گوید که افرونه کروم، توکن های احراز هویت را فاش کرده است.
این اتفاق به این معنی است که هر وب سایتی می تواند به اسناد، سابقه مرورگر، log ها و داده های دیگر دسترسی پیدا کند.
Ormandy در این زمینه می گوید: “من این را یک باگ خیلی خطرناک می دانم، چرا که به طور جدی حقوق کاربران را نقض می کند. کاربران انتظار ندارند که بازدید از یک وب سایت بتواند اجازه دسترسی به اسناد و اطلاعات ورودی آن ها را به سایت های دیگر بدهد.”
برای اثبات این قضیه، وی در مورد چگونگی بروز این باگ در ۴ خط کدنویسی توضیح داد.
بیش از ۲۲ میلیون کاربر از این افزونه چک کننده گرامر استفاده می کنند.
Ormandy روز جمعه گزارش این باگ را ارائه داد که برای افشای آن ۹۰ روز مهلت وجود دارد. Grammarly هم با عرضه یک به روزرسانی در روز دوشنبه این مشکل را رفع کرد.
Ormandy در ماه های گذشته افزونه های مرورگر متعددی را بررسی کرده است. اوایل امسال، وی یک مشکل Remote code در افزونه کروم Cisco WebEx و یک باگ سارق اطلاعات از نرم افزار مدیریت رمز عبور LastPass کشف کرد.
سخنگوی Grammarly هنوز در این مورد اظهار نظری نکرده است.