Una vulnerabilidad crítica en Gramarly, una reconocida extensión para revisar la ortografía, ha expuestos los datos personales y registros de las actividades en Internet de sus 22 millones de usuarios.
Gramarly ofrece extensiones de Chrome y Firefox que permiten a los usuarios revisar su ortografía en cualquier sitio que visiten y con el que deseen interactuar. Es una herramienta que muchos encuentran de utilidad para asegurarse de que lo que escriben en blogs, tweets, redes sociales y correos electrónicos sea comprensible y no llame la atención por las razones equivocadas.
El investigador de Google Tavis Ormandy advirtió sobre la vulnerabilidad, y explicó que se trataba de una “falla de gran gravedad” que filtraba los tokens de autentificación. Es decir, que cualquier sitio web que el usuario visitara podía tener acceso a los “documentos, historial, registros y otros datos” del internauta.
“La considero una falla de gran gravedad porque es una violación severa de las expectativas de los usuarios”, explicó Ormandy. “Los usuarios no esperarían que con sólo visitar un sitio web le estarían dando permiso para acceder a los documentos o datos que escribieron en otros sitios”.
“La vulnerabilidad no afecta al teclado Grammarly Keyboard, el complemento Grammarly para Microsoft Office, ni ningún texto escrito mientras se usaba la extensión Grammarly para navegadores”, aclaró la compañía.
El investigador también desarrolló un exploit de prueba de concepto para demostrar cómo la vulnerabilidad podía explotarse con sólo cuatro líneas de código.
La extensión cuenta con más de 22 millones de usuarios, por lo que las repercusiones de esta vulnerabilidad podrían tener efectos masivos. Sin embargo, tanto Ormandy como Grammarly afirmaron que todavía no han descubierto ningún caso en el que se haya explotado esta vulnerabilidad para exponer los datos de los usuarios.
La vulnerabilidad se descubrió el viernes y el lunes ya se estaban desplegando los parches que la compañía había desarrollado para solucionar el problema. Ormandy felicitó a la compañía por su “impresionante velocidad de respuesta” y Grammarly confirmó que los parches ya estaban publicados y los usuarios no tenían que preocuparse por instalarlos porque el sistema lo haría de forma automática.
Aunque los investigadores siguen evaluando la situación para asegurarse de que no existan víctimas afectadas por ningún ataque relacionado con la vulnerabilidad, todo indica que la amenaza ya está bajo control: el parche de Grammarly ya está a disposición del público y la falla fue solucionada tanto en Google Chrome como en Firefox.
Fuentes
Critical Flaw in Grammarly Spell Checker Could Let Attackers Steal Your Data The Hacker News
Grammarly Bug Let Snoops Read Everything You Wrote Online, Typos and All (Updated) Gizmodo
Flaw in Grammarly’s extensions opened user accounts to compromise Help Net Security
Vulnerabilidad en la extensión Grammarly expone los datos y actividades de sus 22 millones de usuarios