دانلود اپلیکیشن اندروید

اگر از بررسی املای پیشرفته کروم استفاده می‌کنید، رمزهای عبور شما در خطر هستند

اگر از بررسی املای پیشرفته کروم استفاده می‌کنید، رمزهای عبور شما در خطر هستند

گوگل کروم را می‌توانیم یکی از پرامکانات‌ترین مرورگرهای دنیا به‌حساب آوریم که ویژگی‌های مفیدی مانند بررسی املا چیزهایی که نوشته‌اید را به شما ارائه می‌دهد.

این ویژگی در دو حالت استاندارد و پیشرفته در دسترس قرار دارد که در صورت فعال کردن بررسی املای پیشرفته، گوگل خاطرنشان می‌کند که هر آنچه که در مرورگر تایپ می‌کنید، به سرورهای این شرکت ارسال می‌شود تا از طریق گرامر و الگوریتم‌های پیشرفته مورد بررسی قرار گیرد.

اگر شما از آن دست کاربرانی  هستید که به امنیت داده‌های خود در فضای اینترنت بسیار اهمیت می‌دهید، به شما پیشنهاد می‌کنیم که هیچ‌گاه بررسی املای پیشرفته را فعال نکنید. تا چند روز پیش، تصور بر این بود که تنها اطلاعات چیزهایی که تایپ کرده‌اید به سرورهای گوگل ارسال خواهند شد، اما امروز مشخص شد که تحت شرایطی خاص، رمزها و نام‌های کاربری شما هم می‌توانند در طول فرایند ورود به سرورهای تصحیح املای گوگل، ارسال شوند.

گزارش مربوط به این موضوع برای اولین‌بار توسط رسانه Bleeping Computer منتشر شد که در آن تحقیقات انجام شده توسط otto-js وجود داشت. او گفت که رمزهای عبوری که در زمان ورود به وبسایت‌ها و پلتفرم‌های دیگر تایپ می‌کنید، می‌تواند در زمان استفاده از ویژگی reveal password، به سرورهای گوگل فرستاده شود. این گزینه در بسیاری از وبسایت‌ها وجود دارد و قرار است که پرکردن رمزهای عبور را آسان‌تر کند، چرا که به شما این امکان را می‌دهد تا آنچه را که به‌عنوان متنی ساده تایپ می‌کنید را ببینید.

در کنار تمام موارد گفته شده، این موضوع به معنای آن است که حفاظت از حریم خصوصی در مرورگر کروم به‌خوبی کار نمی‌کند. در واقع، این متن رمز عبور می‌تواند به‌عنوان متن معمولی درنظر گرفته شود که باید املای آن مورد بررسی قرار گیرد. وبسایت‌های می‌توانند با اضافه کردن spellcheck=false به فیلد مورد نظر، از این اتفاق جلوگیری کنند، اما همانطور که Bleeping Computer و otto-js نشان دادند، بسیاری از وبسایت‌های بزرگ دنیا، از جمله سایت‌های مربوط‌به فناوری بزرگی مثل فیسبوک، از آن غفلت می‌کنند.

LastPass هم یکی دیگر از شرکت‌هایی بوحد که تحت تاثیر این آسیب‌پذیری قرار گرفت. این شرکت امنیتی پس از تماسی که با otto-js داشت، توانست که مشکل گفته شده را با اضافه کردن ویژگی spellcheck=false در فیلد ورودی خود برطرف کند. در زمانی که Bleeping Computer از شرکت گوگل در مورد آسیب‌پذیری موردنظر سوال کرد، گوگل توضیح داد که بررسی املای پیشرفته فقط براساس انتخاب فعال است و به کاربران هشدار داده می‌شود که این مورد به آن معنا است که تمام داده‌های ورودی آن‌ها به سرورها ارسال می‌شود.

این هشدار نشان داده شده توانسته تا افرادی که تحت تاثیر چنین آسیب‌پذیری قرار گرفته‌اند را کاهش دهد؛ بنابراین، متن به هویت کاربری متصل نمی‌شود و فقط به‌صورتی موقت در سرورهای شرکت گوگل ذخیره و پردازش خواهند شد. آن‌ها همچنین متعهد شده‌اند که فرایند‌های خود را بهبود ببخشند تا رمزهای عبور را از روند پردازش حذف کنند.

در ادامه این تحقیقات مورد نظر، مشخص شد که افزونه مرورگر Microsoft Editor هم در همین موضوع مقصر است. البته، این موضوع چیزی نبود که انتظارش را نداشته باشیم، چرا که سرویس مایکروسافت هم برای ارائه بررسی‌های املا، سبک و دستور زبان به پردازش مبتنی‌بر ابر متکی است. باتوجه‌به این موضوع که هم مایکروسافت و هم گوگل در مورد ارسال متنی که تایپ کرده‌اید به سرورهایشان به‌صورتی صریح صحبت کرده‌اند، احتمالا کسی را پیدا نخواهید کرد که از ارسال شدن رمزهای عبور همراه‌با آن تعجب کند.

بسیار واضح است که اگر به‌صورت معمول و روزانه به اطلاعات محرمانه دسترسی دارید، به‌هیچ عنوان نباید از هیچ‌کدام از این سرویس‌های تصحیح املا استفاده کنید، چرا که دسترسی به هر چیزی را که تایپ می‌کنید را به طرفی که خارج از کنترل شماست، واگذار می‌کنید. حتی اگر هر دو شرکت گوگل و مایکروسافت هم سیاست‌های بسیار خوبی را در زمینه حفظ حریم‌خصوصی شما ارائه دهند، به هیچ عنوان نباید در این شرایط از سرویس‌های تصحیح املا آن‌ها استفاده کنید.

با انجام این تحقیقات، ما متوجه شدیم که سرویس‌های تصحیح املا مبتنی‌بر وب تا چه اندازه می‌توانند خطرناک باشند. اگر شما اکنون یکی از آن افرادی هستید که مدیریت یک سیستم در دستان شماست یا اینکه دسترسی نسبتا زیادی را به سیستم‌های مربوط به مدیریت یک پلتفرم دارید، در زمان استفاده از سرویس‌های تصحیح املای شرکت‌های مایکروسافت و گوگل باید حواس خود را جمع کنید.

برای آنکه اطلاعات حیاتی خود را با این سرویس‌ها به‌اشتراک نگذارید، تنها کافیست که رمزهای عبور خود را کپی و جایگذاری کنید یا اینکه از اکستنشن‌های مربوط به تکمیل خودکار استفاده نمایید. تنها چیزی که در اینجا باید از آن آگاه باشید، این است که ابزارهایی هم وجود دارند که کلیپ‌بورد شما را رصد یا با دستگاه‌های دیگرتان همگام می‌کنند. اگر از هر یک از این موارد استفاده می‌نمایید، این امکان وجود دارد تا رمزهای عبور شما در مکان‌هایی، مانند سرور برخی از شرکت‌ها، نمایش داده شود که اصلا انتظار آن را ندارید.

منابع نوشته
برچسب‌ها
در بحث شرکت کنید

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *