De acordo com um relatório de Tavis Ormandy da equipa da Google Project Zero, a extensão Grammarly, usada por quase 22 milhões de utilizadores, expõem os tokens de autenticação permitindo que qualquer atacante possar aceder aos dados da vítima sem o seu prévio consentimento.
A vulnerabilidade crítica foi identificada na sexta feira e patched na segunda-feira pela manha, “um tempo de resposta impressionante“, disse Ormandy.
O Grammarly, foi lançado em 2009 por developers ucranianos. Esta extensão examina todas as mensagens, documentos e posts de redes sociais e tenta limpar erros para que o utilizador fique com o inglês o mais claro possível. A extensão do browser tem acesso a praticamente tudo que um utilizador digita, e, portanto, um atacante pode aceder a uma enorme quantidade de dados privados.
A exploração é simples. Basta digitar um par de comandos na consola do web-browser para obter acesso total, como explicou Ormandy. Não está claro se a vulnerabilidade foi explorada. A equipa do Grammarly ainda não divulgou qualquer nota de imprensa sobre esta vulnerabilidade.
Esta vulnerabilidade afeta os web-browsers Chrome e Firefox. É indispensável a sua atualização ASAP.
Referência
https://bugs.chromium.org/p/project-zero/issues/detail?id=1527&desc=2