Avertisment: nu activați Edge, funcțiile de verificare ortografică îmbunătățite Chrome

Dacă utilizați funcțiile îmbunătățite de verificare ortografică ale Margine si Chrome, este timpul să renunțați la acestea, deoarece un nou raport arată că capacitatea poate trimite efectiv datele formularului către giganții tehnologici care dețin browserele menționate. (prin intermediul Bleeping Computer)

Potrivit Compania de securitate JavaScript numită otto-js, acest lucru se întâmplă atunci când funcția de verificare ortografică îmbunătățită a Chrome (chrome://settings/?search=Enhanced+Spell+Check) și Complementul de browser Microsoft Editor Spelling & Grammar Checker de la Edge sunt activate manual de către utilizatori. Cu toate acestea, rețineți că ambele browsere au propriile lor verificatoare ortografice de bază activate în mod implicit, dar nu prezintă un risc de securitate, deoarece nu se comportă așa cum se comportă caracteristicile îmbunătățite.

Când sunt activate, funcțiile pot trimite date către Microsoft și Google. Informațiile care vor fi transmise depind de formularul pe care îl completați pe anumite site-uri web, ceea ce înseamnă că, cu cât partajați mai multe informații și completați câmpurile de formular, cu atât mai multe date pot fi trimise companiilor atunci când funcțiile îmbunătățite de verificare ortografică sunt activate. De exemplu, un site web pe care îl vizitați vă poate solicita să furnizați informațiile dvs. de identificare personală (PII), cum ar fi numele dvs. complet, adresa de domiciliu, adresa de e-mail, numărul de securitate socială, numărul pașaportului, numărul permisului de conducere, numerele cardului de credit, data naștere și nu numai. Mai rău, parolele dvs. ar putea fi transmise și către Microsoft și Google, potrivit echipei de cercetare otto-js, care numește procesul „Spell-jacking” care „încalcă principiul fundamental de securitate al „necesității de a cunoaște” și ar putea fi considerat un încălcarea vieții private.”

„Dacă „afișați parola” este activată, funcția chiar trimite parola dvs. către serverele lor terțe”, a spus Josh Summitt, co-fondator și CTO al otto JavaScript Security, în timp ce testa detectarea comportamentelor scriptului companiei. „În timpul cercetării pentru scurgeri de date în diferite browsere, am găsit o combinație de funcții care, odată activate, vor expune în mod inutil datele sensibile unor terțe părți precum Google și Microsoft. Ceea ce este îngrijorător este cât de ușor sunt activate aceste funcții și că majoritatea utilizatorilor vor activa aceste funcții fără să își dea seama cu adevărat ce se întâmplă în fundal.”

Spell-jacking se poate întâmpla pe toate site-urile web atâta timp cât utilizați Edge și Chrome și aveți funcțiile lor îmbunătățite de verificare a ortografiei. Pentru a dovedi acest lucru, otto-js a împărtășit cum s-a întâmplat atunci când s-au conectat la contul Alibaba Cloud al companiei folosind acreditările angajaților (în special parola), care au fost ulterior trimise la Google. În plus, otto-js a distribuit o demonstrație video care arată modul în care spell-jacking expune infrastructura cloud a unei companii, inclusiv servere, baze de date, conturi de e-mail corporative și manageri de parole.

„Videoclipul folosește un scenariu comun la locul de muncă pentru a ilustra cât de ușor este să activați funcțiile de verificare ortografică îmbunătățite de browser și cum un angajat ar putea expune compania fără să știe vreodată”, adaugă otto-js. „Majoritatea CISO ar fi extrem de alarmați să afle că acreditările administrative ale companiei lor au fost împărtășite fără să vrea în text clar unei terțe părți, chiar și una în care în general au încredere.”

Compania de securitate JavaScript a subliniat în continuare numele companiilor și serviciilor care ar putea fi afectate de problemă. Include Alibaba – Serviciu Cloud, Office 365 și Google Cloud – Manager Secret. AWS – Secrets Manager și LastPass au fost incluse inițial pe listă, dar otto-js a spus că ambele „au atenuat deja pe deplin problema”.

Pe lângă menținerea neatinsă și dezactivată a funcției de verificare ortografică îmbunătățită a Chrome și a suplimentului de browser Microsoft Editor Spelling & Grammar Checker de la Edge, otto-js a spus că există modalități suplimentare în care problema ortografiei poate fi prevenită de companii prin adăugarea „spellcheck=false”.

„Companiile pot atenua riscul de a partaja informațiile personale ale clienților lor – adăugând „spellcheck=false” la toate câmpurile de intrare, deși acest lucru ar putea crea probleme utilizatorilor”, sugerează otto-js. „În mod alternativ, îl puteți adăuga doar la câmpurile de formular cu date sensibile. Companiile pot elimina, de asemenea, capacitatea de a „afișa parola”. Acest lucru nu va împiedica vrăjirea, dar va împiedica trimiterea parolelor de utilizator. Companiile pot folosi, de asemenea, software de securitate la nivelul clientului, cum ar fi otto-js, pentru a monitoriza și controla scripturile de la terți.”

Firma de securitate a spus că nu se știe dacă datele transmise către Microsoft și Google sunt stocate sau cum sunt gestionate. Microsoft încă nu a lansat niciun comentariu despre aceasta, dar un purtător de cuvânt al Google a declarat pentru BleepingComputer că „Google nu îl atașează la nicio identitate de utilizator și îl procesează doar temporar pe server”.