나도 모르는 사이 빅테크 기업으로 전송되고 있는 개인 정보? Spell-Jacking 주의

나도 모르는 사이

빅테크 기업으로 전송되고 있는 개인 정보?

Spell-Jacking 주의

 

비행기 티켓을 예매할 때, 

물건을 구매할 때,

어떤 정보를 입력하시나요?

 

내가 입력한 여권 정보, 로그인 ID, Password, 

이름, 집 주소, 이메일 주소가 

Google과 Microsoft에 자동으로 전송될 수 있습니다.

 

Otto JavaScript Security는 

Google Chrome의 “고급 맞춤법 검사(Enhanced Spellcheck)”와

Microsoft Edge의 "MS편집기(MS Editor)" 기능으로 

사용자가 입력한 “비밀번호”가 노출되는 

스펠재킹(Spell-Jacking) 위험이 있다고 발표했습니다.

 

이 문제는 Chrome과 Edge 브라우저를 사용하는 사용자가 

수동으로 이 기능을 활성화했을 때 발생합니다. 

또한, 사용자가 ‘비밀번호 보이기’ 옵션을 

활성화한 상태로 비밀번호를 입력하면 그 정보까지 

Google과 Microsoft의 서드파티 서버들에 전송됩니다.

 

otto-js 연구팀은 

"Google과 Microsoft에 전송된 데이터가 

어떻게 저장되고 관리되고 있는지 알 수 없다"라고 말했습니다. 

 

Microsoft는 이에 대해 어떤 언급도 하지 않았고, 

Google은 “사용자 ID에 연결하지 않고 

서버에서 일시적으로만 처리한다”라고 말했습니다.

 

스펠재킹(Spell-Jacking)을 통해 기업의 데이터베이스나

클라우드 인프라의 내부 자산에 접근할 수 있는

기업의 자격 증명이 노출될 위험이 있어

주의가 필요하겠습니다.

 

otto-js 연구팀은 

영향을 받는 서비스를 추가로 언급했습니다.

 

▶ Office 365

▶ Alibaba - Cloud Service

▶ Google Cloud - Secret Manager

▷ AWS – Secrets Manage (Spell-jacking 패치 완료)

▷ LastPass (Spell-jacking 패치 완료)

 

[개인]

• Chrome의 “향상된 맞춤법 검사” 비활성화
• Edge의 “Microsoft 편집기: 맞춤법 및 문법 검사기” 비활성화

[기업]

• 웹 사이트에 "spellcheck=false" 코드 추가 (HTML 코드 업데이트)
• 웹 사이트 '비밀번호 보이기' 기능 제거

 

 

MIR News

[ Spell-jacking 편 ]

[ 출처 ]

https://www.otto-js.com/news/article/spell-jacking-enhanced-spellcheck-features-send-pii-even-passwords

[ Microsoft Exchange Server 0-Day 취약점 패치 업데이트 ]
https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/

감사합니다.

 

제작 : MIR Team

문의 : mss_analysis@cyberone.kr

블로그 : https://mir.team

페이스북 : https://www.facebook.com/mirteamofficial