Das zur Grammatikprüfung im Browser verfügbare Add-on Grammarly hat wohl eine gravierende Sicherheitslücke. Diese ermöglicht es, persönliche Daten der Benutzer abzugreifen.
Anzeige
Bei Grammarly handelt es sich um ein Add-on, welches für Google Chrome – und wohl auch für den Firefox – verfügbar ist. Das Add-on soll eigentlich kostenlos die Überprüfung der Grammatik von Texten ermöglichen, benötigt aber eine Benutzeranmeldung. Die Anwendung wurde z.B. hier vorgestellt. Chip hat hier einen Artikel mit Einschränkungen der Gratisversion veröffentlicht.
Tavis Ormandy vom Google Project Zero ist auf einen fetten Fehler gestoßen. Die Google Chrome-Erweiterung Grammarly rückt das Token zur Anmeldung am Grammarly-Benutzerkonto heraus. Damit kann sich jede Website bei grammarly.com anmelden und auf alle Dokumente, den Verlauf, die Protokolle und alle anderen Daten des jeweiligen Benutzerkontos zugreifen.
Da die Erweiterung ca. 22 Millionen Benutzer hat, ist das schon ein schwerwiegender Fehler, wie Ormandy schreibt. Denn als Benutzer erwartet man nicht, das so etwas passiert. Inzwischen haben die Entwickler reagiert und eine abgesicherte Version bereitgestellt. Diese soll automatisch aktualisiert werden. Jemand von Euch, der das Teil im Einsatz hat? (via The Hacker News)
Anzeige
Man hätte auch titeln können: Datenlücke im Datensauger. Leute, die solche Grammar-Checker-Add-ons einsetzen, werden es eh wissen: Texte, die von so einem Add-on im Browser erfasst werden, landen auf den Servern des Anbieters und werden dort geprüft. Was auch immer die Anbieter bezüglich Datenschutz versprechen, der Kontrollverlust aus der Nutzerperspektive ist maximal. Grammarly verwende ich nicht, aber das LanguageTool. Der Vorteil beim LanguageTool: neben den Add-ons für Firefox und Chrome gibt es die Option, das LanguageTool lokal und offline auf dem eigenen Rechner werkeln zu lassen: als Erweiterung für LibreOffice oder als „Stand-alone"-Anwendung für den Desktop.
Gut dass ich damals im Deutschuntericht aufgepasst hab…
Gut, dass…