根据一份bug报告,GrammarlyChrome扩展的一个安全缺陷可能无意中让用户的私人文档可以公开访问。
谷歌Zero项目的研究人员塔维斯·奥曼迪(Tavis Ormandy)说,Chrome扩展名的漏洞允许任何网站访问用户的身份验证令牌,然后这些令牌提供了对其私人文档、历史和数据的访问。除了冒着个人信息的风险外,如果黑客是在语法编辑器中编辑的,他们可能已经到达公司文档。
奥曼迪在他的bug报告中说:“我称之为高度严重的bug,因为这似乎相当严重地违反了用户的期望。
这款由超过2200万人安装的分机可以作为从电子邮件到推特的语法检查。该bug只能访问已上载并在语法编辑器中工作的文档。奥曼迪发现,只需要四行代码就能触发缺陷。
语法星期一发布了一个自动更新,以纠正这一问题。Grammarly的一位发言人说,他们没有发现用户数据受到损害的证据。
公司可能希望重新检查他们关于公司设备上使用的扩展的安全策略,或者在处理公司文档时,以确保一切都是安全的。
影子IT近年来不断崛起,越来越多的员工带着自己的软件和插件,而没有先通过IT运行。根据2017年4月的一份Netskope报告,云应用程序采用率的增加是其增长的原因之一。