Το Grammarly είναι μια γνωστή υπηρεσία υπόδειξης και διόρθωσης λαθών που τυχαίνει να πληκτρολογηθούν από τους χρήστες του σε ένα πλαίσιο κειμένο σε διάφορες διαδικτυακές εφαρμογές, όπως το Facebook ή ένα email από τη Yahoo και το Gmail.

Μια κριτική ευπάθεια εντοπίστηκε στο σύστημα του Grammarly η οποία φαίνεται να αφήνει και τους 22 εκατομύρριους χρήστες του εκτεθιμένους σε διαρροή προσωπικών πληροφοριών με την ελάχιστη προσπάθεια από τρίτους.

Σύμφωνα με το γνωστό παράρτημα κυβερνοασφάλειας της Google, το “Google Project Zero” και τον ερευνητή αφαλείας Tavis Ormandy ο οποίος ανακάλυψε την ευπάθεια στις 2 Φεβρουαρίου, κάποιος κακόβουλος χρήστης θα μπορούσε να υποκλέψει στοιχεία από τους χρήστες του Grammarly χρησιμοποιώντας μονάχα 4 γραμμές κώδικα στη Javascript. 

Αναλύοντας το συκγκεκριμένο bug, διαπίστωνεται πως οποιοδήποτε website και αν επισκέπτεται ο χρήστης έχοντας ενεργοποιημένο το Grammarly, αυτό θα μπορούσε να υποκλέψει τα authentication tokens που χρησιμοποιούνται για να κρατούν το χρήστη σε σύνδεση με το λογαριασμό του στην υπηρεσία με συνέπεια κάποιος τρίτος να καταφέρει να αποκτήσει πρόσβαση στο λογαριασμό του και κατ’ επέκταση σε έγγραφά του, logs και το ιστορικό. 

Ο Ormandy επίσης έδωσε στη δημοσιότητα ένα proof-of-concept το οποίο εξηγεί εύκολα και υποδεικνύει πως αυτό το σοβαρό bug θα μπορούσε να υποκλέψει πληροφορίες από το χρήστη.

Το συγκεκριμένο bug, αφότου αναφέρθηκε στην ομάδα ανάπτυξης του Grammarly τη περασμένη Παρασκευή διορθώθηκε μέσα σε 48 ώρες, χρόνο εντυπωσιακό για τη διόρθωση τέτοιων bug. Επίσης, αντιπρόσωποι του Grammarly δήλωσαν πως δεν έχει υποπέσει στην αντίληψή τους καμία προσπάθεια υποκλοπής πληροφοριών από τους λογαριασμούς των χρηστών τους.

Ακολουθήστε το Techmaniacs.gr στο Google News για να διαβάζετε πρώτοι όλα τα τεχνολογικά νέα. Ένας ακόμα τρόπος να μαθαίνετε τα πάντα πρώτοι είναι να προσθέσετε το Techmaniacs.gr στον RSS feeder σας χρησιμοποιώντας τον σύνδεσμο: https://techmaniacs.gr/feed/.

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

This site uses Akismet to reduce spam. Learn how your comment data is processed.