[图]Chrome/Edge中拼写检查功能或导致用户个人信息失窃-品论天涯网

该漏洞不仅让普通最终用户的私人信息面临风险，而且还可能使组织的管理凭据和其他与基础设施相关的信息暴露给未经授权的各方。该漏洞是由otto-js联合创始人兼首席技术官乔什·施密特（JoshSummit）在测试公司的脚本行为检测能力时发现的。

在测试过程中，施密特和otto-js团队发现，在Chrome浏览器中的“增强拼写检查”和Edge浏览器的“MSEditor”中，正确组合功能会无意中暴露包含PII和其他敏感信息的字段数据，并将其发送回微软和Google服务器。这两个功能都要求用户采取明确的行动来启用它们，一旦启用，用户通常不会意识到他们的数据正在与第三方共享。

除了字段数据，otto-js团队还发现用户密码可能会通过查看密码选项暴露。该选项旨在帮助用户确保密码不被错误键入，通过增强的拼写检查功能无意中将密码暴露给第三方服务器。

面临风险的并不仅仅只是个人用户。该漏洞可能导致企业组织的凭据被未经授权的第三方泄露。otto-js团队提供了以下示例，以展示登录云服务和基础架构帐户的用户如何在不知情的情况下将其帐户访问凭据传递给Microsoft或Google服务器。