Grammarly漏洞曝光：任意網站可訪問用戶隱私文檔數據

總部位于加州舊金山的 Grammarly 近日宣布已修復了公司所屬 Chrome 擴展中存在的安全漏洞，該漏洞允許黑客訪問包括隱私文檔和數據在內的用戶賬號信息。

Google Project Zero 項目團隊的安全專家 Tavis Ormandy 發現了這個“高危”漏洞，表示這款瀏覽器擴展能夠向所有網站曝光用戶的令牌信息。這意味著任意網站能夠訪問用戶的文檔、訪問歷史、日志以及其他數據信息。

Ormandy 表示：“我認為這是一個高危安全 BUG，因為這嚴重違反了用戶預期。用戶并不希望所訪問的網站具備訪問文檔或者其他數據的權限。”在概念證明代碼中，他解釋了如何用四行代碼來觸發這個 BUG。

Grammarly 是一款國外廠商開發的語法檢查應用，提供了網頁版、 Mac 版和 Windows 版。如果你使用 Windows，Grammarly 還提供了 Word 插件，下載后可以在 Word 內部調用插件直接檢查語法錯誤。

Grammarly 可以實現實時語法檢查，你邊寫它就邊改，語法問題和修改意見會以標注的形式顯示在文檔的右側，方便你去一一查看，而且在每條批注下面都會配有詳細的解釋，告訴你哪里錯了，為什么要這樣修改。

來自: cnBeta