回归最本质的信息安全

;

修改语法错误也会泄露用户隐私,Grammarly工具存在严重漏洞

2018年2月10日发布

86,811
0
0

导语:在写作英文论文时,很多时候会由于粗心等犯一些比较低级错误。Word自带错误更正功能,但是其订正功能相对低级,作为一款专门修改英文的工具,Grammarly则更专业一些。

1517993043665587.jpg

Grammarly介绍

在写作英文论文时,很多时候会由于粗心等犯一些比较低级错误。Word自带错误更正功能,但是其订正功能相对低级,作为一款专门修改英文的工具,Grammarly则更专业一些。

Grammarly主要功能包括:考虑上下文的拼写检查,语法检查,标点符号纠正,句子结构修正,句式修改,词汇增强以及防剽窃等,各功能的介绍可参看官网

目前Grammarly提供了网页版、Mac版和Windows版。如果你使用的是 Windows版本,Grammarly还提供了Word插件,下载后可以在Word内部调用插件直接检查语法错误。

Chrome扩展中存在的安全漏洞早已不是什么秘密

早在2015年,瑞典的安全公司Detectify实验室就发现有些Chrome扩展程序会追踪用户的上网记录,甚至还包括Facebook Connect的私密访问令牌、连接到私有Dropbox和Google Drive文件的链接。

根据研究,当时HooverZoom、SpeakIt、ProxFlow、Instant Translate、FB Color Changer、SafeBrowse、JavaScript Error Notifier、SuperBlock AdBlocker等多款热门扩展程序都存在盗窃用户隐私的情况。

虽然分析提供商通过获取这些用户上网行为来提供相应的数据支持,但是通过Chrome扩展程序来秘密获取用户的隐私护具,显然不是正大光明的手段。另一方面,如果黑客利用该种方式发起恶意,可以对目标造成的危害可就大了。

近日Google Project Zero项目团队的安全专家Tavis Ormandy就发现Grammarly在Chrome中的扩展存在安全漏洞,如果是黑客发现并利用了该漏洞,则他们就可以访问包括隐私文档和数据在内的个人账号信息。

不过幸运的是,Ormandy在发现后立即通知了Grammarly公司,而Grammarly也在几个小时内修复了Chrome扩展中存在的安全漏洞。另外,Grammarly的官方也进行了说明:

目前,我们还没有发现有任何用户因该漏洞而被攻击,为了保证安全,我们正继续积极监察任何不寻常的活动。

漏洞介绍

 Ormandy表示:

我认为这是一个高危安全漏洞,因为它已具备访问文档或者其他数据的权限,且浏览器扩展程序会向所有网站展示了用户的身份验证令牌。

虽然这个安全漏洞可能会影响保存在“语法编辑器”中的文本,但不会影响Grammarly Keyboard,Grammarly Microsoft Office加载项或在使用Grammarly浏览器扩展时在网站上输入的任何文本。Grammarly的官方也补充说明到:

此漏洞已修复,用户不需要进行任何操作。

译者注: Grammarly Keyboard是通过内置第三方键盘的形式为英文用户提供全面的语法检查功能,目前这款应用已免费向 iOS 用户开放下载。对于那些经常游玩于英文社交网络、在线服务或者需要在英文环境进行开发、设计、文字创作的移动平台用户来说,Grammarly Keyboard 可以说是一个不错的选择。

Ormandy在其2月2日的分析文章中,解释了Grammerly的这个漏洞是如何通过以下四行代码被触发的。

Grammarly-1024x108.png

这段代码会生成一个与Grammerly使用的cookie相匹配的标记,Ormandy表示:

我已经证实,用这些代码触发漏洞后,所窃取的信息,足以登录到用户的grammarly.com帐户。 这意味着,任何网站都可以伪装成你登录到grammarly.com,并访问你的所有文档,历史记录,日志和所有其它数据。

Tavis Ormandy的功迹

专注查找漏洞的一名安全研究人员,在2016年7月,Tavis Ormandy率先发现了知名在线密码管理器LastPass的一个潜在风险,攻击者可借此接触到用户的线上账户。万幸的是,LastPass已经修复了这个让攻击者远程访问数百万账户的所谓“零日漏洞”,据说用户在访问一个特定恶意站点时就会中招。

另外在2017年1月,Tavis Ormandy 还发现过Cisco WebEx 浏览器插件中存在一个严重的远程代码执行漏洞,可诱发大规模攻击事件。

如若转载,请注明原文地址: http://www.4hou.com/info/news/10297.html

点赞 0
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

luochicun

这个人很懒,什么也没留下

发私信

发表评论