Af Torben B. Sørensen, 06/02/18
Grammarly-tilføjelsen til Chrome lader brugere tjekke tekster for sprogfejl. Sikkerhedsforsker Tavis Ormandy fra Google har opdaget en sårbarhed, der giver ethvert websted adgang til en brugers data.
Sårbarheden skyldes, at Grammarly gør det muligt for et websted at se brugerens brugernavn og en tekst, der bruges til adgangskontrol. Dermed kan et websted, som brugeren af Grammarly besøger, give sig ud for at være brugeren og få adgang til alle dokumenter, brugeren har uploadet til Grammarly.
Tavis Ormandy gav Grammarly besked om sårbarheden fredag den 2. februar. Grammarly udsendte en rettet version mandag morgen.
Omkring 22 millioner brugere har installeret Grammarly-tilføjelsen til Chrome.
Anbefaling
Opdater til den rettede version.
Links
- Grammarly: auth tokens are accessible to all websites, advarsel fra Tavis Ormandy
- Bug in Grammarly browser extension exposes virtually everything a user ever writes, artikel fra Cyberscoop
- Don't worry, it'll be all Reich! Googler saves Grammarly nazis from hacker invasion, artikel fra The Register
- Grammarly Patches Chrome Extension Bug That Exposed Users’ Docs, artikel fra Kaspersky Threatpost
- Grammarly Rushes to Patch Flaw Exposing User Data, artikel fra SecurityWeek