Waarschuwing: activeer Edge niet, Chrome verbeterde spellingcontrolefuncties

Als u gebruikmaakt van de verbeterde spellingcontrolefuncties van rand en Chrome, is het tijd om ermee te stoppen, aangezien een nieuw rapport aantoont dat de mogelijkheid uw formuliergegevens daadwerkelijk kan verzenden naar de technische giganten die eigenaar zijn van de genoemde browsers. (via De computer laten leeglopen)

Volgens de JavaScript-beveiligingsbedrijf genaamd otto-js, gebeurt dit wanneer de verbeterde spellingcontrolefunctie van Chrome (chrome://settings/?search=Enhanced+Spell+Check) en Edge's Microsoft Editor Spelling & Grammatica Checker browser add-on worden handmatig geactiveerd door de gebruikers. Houd er echter rekening mee dat beide browsers hun eigen basisspellingcontroles standaard hebben ingeschakeld, maar dat ze geen veiligheidsrisico vormen omdat ze zich niet gedragen zoals de verbeterde functies.

Indien geactiveerd, kunnen de functies gegevens naar Microsoft en Google verzenden. De informatie die wordt verzonden, hangt af van het formulier dat u op specifieke websites invult, wat betekent dat hoe meer informatie u deelt en formuliervelden invult, hoe meer gegevens naar de bedrijven kunnen worden verzonden wanneer de verbeterde spellingcontrolefuncties worden geactiveerd. Een website die u bezoekt, kan bijvoorbeeld vereisen dat u uw persoonlijk identificeerbare informatie (PII) verstrekt, zoals uw volledige naam, huisadres, e-mailadres, burgerservicenummer, paspoortnummer, rijbewijsnummer, creditcardnummers, datum van geboorte, en meer. Erger nog, uw wachtwoorden kunnen ook worden verzonden naar Microsoft en Google, volgens het otto-js Research Team, dat het proces "spelljacking" noemt dat "een fundamenteel veiligheidsprincipe van 'need-to-know' schendt en kan worden beschouwd als een schending van privacy."

"Als 'wachtwoord weergeven' is ingeschakeld, stuurt de functie zelfs uw wachtwoord naar hun externe servers", deelde Josh Summitt, medeoprichter en CTO van otto JavaScript Security, de ontdekking terwijl hij de detectie van scriptgedrag van het bedrijf testte. “Tijdens het onderzoek naar datalekken in verschillende browsers, hebben we een combinatie van functies gevonden die, eenmaal ingeschakeld, gevoelige gegevens onnodig blootstellen aan derde partijen zoals Google en Microsoft. Wat zorgwekkend is, is hoe gemakkelijk deze functies kunnen worden ingeschakeld en dat de meeste gebruikers deze functies zullen inschakelen zonder echt te beseffen wat er op de achtergrond gebeurt.”

Spelling-jacking kan op alle websites plaatsvinden zolang u Edge en Chrome gebruikt en hun verbeterde spellingcontrolefuncties werken. Om het te bewijzen, deelde otto-js hoe het gebeurde toen ze zich aanmeldden bij het Alibaba Cloud-account van het bedrijf met de inloggegevens van de werknemer (met name het wachtwoord), die later naar Google werden verzonden. Verder deelde otto-js een videodemonstratie die laat zien hoe spell-jacking de cloudinfrastructuur van een bedrijf blootlegt, inclusief servers, databases, zakelijke e-mailaccounts en wachtwoordmanagers.

"De video gebruikt een veelvoorkomend scenario op de werkplek om te illustreren hoe gemakkelijk het is om de browser-verbeterde spellingcontrole-functies in te schakelen en hoe een werknemer het bedrijf kan blootleggen zonder het ooit te weten", voegt otto-js toe. "De meeste CISO's zouden zeer verontrust zijn als ze zouden horen dat de administratieve gegevens van hun bedrijf onbewust in duidelijke tekst werden gedeeld met een derde partij, zelfs een partij die ze over het algemeen vertrouwen."

Het JavaScript-beveiligingsbedrijf onderstreepte verder de namen van bedrijven en diensten die door het probleem zouden kunnen worden getroffen. Het omvat Alibaba - Cloud Service, Office 365 en Google Cloud - Secret Manager. AWS - Secrets Manager en LastPass stonden oorspronkelijk op de lijst, maar otto-js zei dat beide "het probleem al volledig hebben verholpen".

Afgezien van het onaangeroerd en gedeactiveerd houden van Chrome's Verbeterde spellingcontrole en Edge's Microsoft Editor Spelling & Grammar Checker browser-add-on, zei otto-js dat er nog andere manieren zijn waarop het spellingsprobleem door bedrijven kan worden voorkomen door de toevoeging van "spellcheck=false".

"Bedrijven kunnen het risico van het delen van de PII van hun klanten verkleinen door 'spellcheck=false' toe te voegen aan alle invoervelden, hoewel dit voor gebruikers problemen kan opleveren", stelt otto-js. “Je kunt het ook toevoegen aan alleen de formuliervelden met gevoelige gegevens. Bedrijven kunnen ook de mogelijkheid om 'wachtwoord te tonen' verwijderen. Dat zal spell-jacking niet voorkomen, maar het zal voorkomen dat gebruikerswachtwoorden worden verzonden. Bedrijven kunnen ook client-side beveiligingssoftware zoals otto-js gebruiken om scripts van derden te controleren en te controleren.”

Het beveiligingsbedrijf zei dat het niet bekend is of de gegevens die naar Microsoft en Google worden verzonden, worden opgeslagen of hoe ze worden beheerd. Microsoft heeft er nog steeds geen commentaar op vrijgegeven, maar een Google-woordvoerder vertelde BleepingComputer dat "Google het niet aan een gebruikersidentiteit koppelt en het alleen tijdelijk op de server verwerkt."