Более 22 млн пользователей могли пострадать из-за уязвимости в расширении Grammarly

В поле его зрения попало расширение Grammarly, используемое для проверки правописания. Но как оказалось, кроме выполнения своего основного функционала оно также могло предоставлять третьим лицам доступ ко всем данным пользователя, хранящимся в браузере Google Chrome.

Орманди предположил, что проблема в плагине возникла по ошибке из-за того, что само расширение написано очень плохо и из-за этого не обеспечивает надежную защиту для пользователей.

По состоянию на сегодняшний день, расширение уже установили более 20 пользователей браузера Google Chromе и порядка 645 тысяч пользователей Mozilla Firefox. Все они подвергают себя опасности, когда используют уязвимое расширение. Чтобы уязвимость можно было проэксплуатировать, злоумышленники должны заманить пользователя на зараженный сайт. Как только человек откроет в своем браузере такой ресурс, злоумышленник сможет завладеть данными, используемыми человеком для входа в свой аккаунт на Grammarly.com. Через него хакеры смогут получить доступ к другой конфиденциальной информации, которая хранится в учетной записи и в браузере пользователя. Сюда можно отнести логины и пароли, историю браузера, используемые документы и пр.

Орманди называет эту проблему критический и уверен, что разработчики расширения вводят своих пользователей в заблуждение и обманывают их ожидания. Ведь люди даже не знают и не подозревают о том, что посещая сайты, они могут предоставлять им доступ к своим личным данным, которые они указывали на открываемых ресурсах, и даже документам.

Сразу же после обнаружения уязвимости в Grammarly Орманди сообщил о выявленной проблеме разработчикам и предоставил им положенный срок в 90 дней для устранения уязвимости. В то же время разработчики расширения отмечают, что они взялись за исправление сразу же после получения сообщения от Орманди. На работу у них в общей сложности ушло всего несколько часов. Только после того, как дыра была залатана, информация о ней появилась в Сети. При этом разработчики отмечают, что брешь не эксплуатировалась злоумышленниками. Тем не менее, чтобы не подвергать себя опасности, специалисты рекомендуют срочно обновить свое расширение до самой последней версии.