Czas e-biznesu

Wszystkie najświeższe informacje o Polsce z Czasu e Biznesu.

Google, Microsoft może uzyskać Twoje hasła za pomocą sprawdzania pisowni w przeglądarce internetowej

Rozszerzone funkcje sprawdzania pisowni w przeglądarkach internetowych Google Chrome i Microsoft Edge przesyłają dane formularzy, w tym informacje umożliwiające identyfikację osoby (PII) oraz w niektórych przypadkach hasła, odpowiednio do Google i Microsoft.

Chociaż może to być dobrze znana i zamierzona funkcja tych przeglądarek internetowych, budzi obawy co do tego, co dzieje się z danymi po ich przesłaniu i jak bezpieczna jest ta praktyka, szczególnie jeśli chodzi o pola haseł.

Zarówno Chrome, jak i Edge są dostarczane z włączoną podstawową funkcją sprawdzania pisowni. Jednak funkcje, takie jak ulepszone sprawdzanie pisowni w przeglądarce Chrome lub edytorze Microsoft, po ręcznym włączeniu przez użytkownika, stanowią potencjalne zagrożenie dla prywatności.

Przechwytywanie pisowni: To jest moduł sprawdzania pisowni, który wysyła informacje umożliwiające identyfikację użytkownika do Big Tech

Podczas korzystania z głównych przeglądarek internetowych, takich jak Chrome i Edge, dane formularzy są wysyłane odpowiednio do Google i Microsoft, jeśli włączone są rozszerzone funkcje sprawdzania pisowni.

W zależności od odwiedzanej witryny internetowej, same dane formularza mogą zawierać informacje umożliwiające identyfikację osoby – w tym między innymi numery ubezpieczenia społecznego (SSN) / numery ubezpieczenia społecznego (SIN), imię i nazwisko, adres, adres e-mail, datę urodzenia (DOB) i dane kontaktowe, informacje o banku i płatności itp.

Josh Summit, współzałożyciel i dyrektor ds. technologii firmy OTTO-JS zajmującej się bezpieczeństwem JavaScript, odkrył ten problem podczas testowania wykrywania zachowań skryptów przez jego firmę.

W przypadkach, gdy Chrome Enhanced Spellcheck lub Edge’s Microsoft Editor (sprawdzanie pisowni) były włączone, „wszystko” wprowadzone w polach formularzy w tych przeglądarkach było wysyłane do Google i Microsoft.

„Ponadto, jeśli klikniesz Pokaż hasło, ulepszona funkcja sprawdzania pisowni wyśle ​​​​twoje hasło, które w zasadzie jest pisownią twoich danych” – wyjaśnia otto-js na Post na blogu.

„Niektóre z największych witryn internetowych na świecie podlegają przesyłaniu do Google i Microsoft poufnych informacji umożliwiających identyfikację użytkowników, w tym nazwy użytkownika, adresu e-mail i haseł, gdy użytkownicy logują się lub wypełniają formularze. Jeszcze ważniejsze jest, aby firmy ujawniły to swoim poświadczenia. Organizacja korporacyjnych zasobów wewnętrznych, takich jak bazy danych i infrastruktura chmury.”

Pola formularza logowania do Alibaba
Pola formularza logowania do Alibaba z włączoną opcją „Pokaż hasło” (Oto-JS)
Ulepszone sprawdzanie pisowni przesyła hasło do firmy Microsoft i Google
Ulepszone sprawdzanie pisowni w Chrome przesyła hasło do Google (Oto-JS)

Użytkownicy często polegają na opcji „Pokaż hasło” w witrynach, w których kopiowanie i wklejanie haseł jest niedozwolone, na przykład, lub gdy podejrzewają, że je błędnie wpisali.

READ  Microsoft ostrzega miliardy użytkowników przeglądarki Google Chrome, aby przestały jej teraz używać

Aby to zilustrować, otto-js udostępnił przykład użytkownika wprowadzającego dane uwierzytelniające na platformie Alibaba Cloud w przeglądarce Chrome – chociaż do tego demo można użyć dowolnej witryny.

Po włączeniu ulepszonego sprawdzania pisowni i założeniu, że użytkownik kliknie opcję Pokaż hasło, pola formularza, w tym nazwa użytkownika i hasło, są przesyłane do Google pod adresem googleapis.com.

Firma udostępniła również film demonstracyjny:

BleepingComputer zauważył również, że dane uwierzytelniające są przesyłane do Google w naszych testach przy użyciu Chrome do odwiedzania głównych witryn, takich jak:

  • CNN – Nazwa użytkownika i hasło podczas korzystania z funkcji Pokaż hasło
  • Facebook.com – Zarówno nazwa użytkownika, jak i hasło podczas korzystania z funkcji Pokaż hasło
  • SSA.gov (logowanie do zabezpieczenia społecznego) — tylko pole nazwy użytkownika
  • Bank of America — tylko pole nazwy użytkownika
  • Verizon — tylko pole nazwy użytkownika

Proste rozwiązanie HTML: „Pisownia = Fałsz”

Chociaż pola formularzy są bezpiecznie przesyłane przez HTTPS, może nie być od razu oczywiste, co dzieje się z danymi użytkownika, gdy dotrą one do strony trzeciej, w tym przypadku do serwera Google.

„The Ulepszona funkcja pisowni Wymaga włączenia włączenia użytkownika” – potwierdził rzecznik Google BleepingComputer. Pamiętaj, że jest to sprzeczne z podstawowym modułem sprawdzania pisowni, który jest domyślnie włączony w Chrome i nie przesyła danych do Google.

Aby sprawdzić, czy ulepszone sprawdzanie pisowni jest włączone w Chrome, skopiuj poniższy link i wklej go w pasku adresu. Następnie możesz go włączyć lub wyłączyć:

chrome://ustawienia/? wyszukiwanie = Ulepszone + Pisownia + Sprawdź

Ulepszone ustawienia pisowni w Chrome
Ulepszone sprawdzanie pisowni musi być włączone w Chrome (uśpiony komputer)

Jak widać na zrzucie ekranu, opis funkcji wyraźnie stwierdza, że ​​przy włączonym Ulepszonym sprawdzaniu pisowni „tekst, który wpisujesz w przeglądarce, jest wysyłany do Google”.

„Tekst wpisywany przez użytkownika może być poufnymi danymi osobowymi, których Google nie łączy z żadną tożsamością użytkownika i tylko tymczasowo przetwarza go na serwerze. Aby jeszcze bardziej zapewnić prywatność użytkownika, będziemy proaktywnie wykluczać hasła ze sprawdzania pisowni „, kontynuował Google we wspólnym oświadczenie z nami.

READ  Bit Orchard: Animal Valley wprowadza wkrótce grę o rolnictwie dla chłopców sentymentalnych

„Cenimy współpracę ze społecznością zajmującą się bezpieczeństwem i zawsze szukamy sposobów na lepszą ochronę prywatności użytkowników i poufnych informacji”.

W przypadku Edge, sprawdzanie pisowni i gramatyki edytora Microsoft to plik Dodatek do przeglądarki które muszą być jawnie zainstalowane, aby wystąpiło to zachowanie.

BleepingComputer skontaktował się z firmą Microsoft przed publikacją. Powiedziano nam, że sprawa jest rozpatrywana, ale nie otrzymaliśmy jeszcze odpowiedzi.

Firma otto-js nazwała wektor ataku „Spell-jacking” i wyraziła swoje zaniepokojenie użytkownikami usług w chmurze, takich jak Office 365, Alibaba Cloud, Google Cloud – Secret Manager, Amazon AWS – Secrets Manager i LastPass.

W odpowiedzi na raport otto-js zarówno AWS, jak i LastPass złagodziły ten problem. W przypadku LastPass rozwiązanie zostało osiągnięte poprzez dodanie prostego atrybutu HTML pisownia = „źle” Do pola hasła:

pole lastpass .hasło
Pole „hasło” LastPass zawiera teraz pisownię = błędny atrybut HTML (uśpiony komputer)

Atrybut HTML „pisownia” po opuszczeniu pól wprowadzania tekstu formularza to Przeglądarki internetowe zazwyczaj zakładają, że to prawda Domyślnie. Pole wejściowe, w którym sprawdzanie pisowni jest jawnie ustawione na Fałszywy Nie zostanie przetworzony przez moduł sprawdzania pisowni przeglądarki internetowej.

„Firmy mogą ograniczyć ryzyko udostępniania informacji umożliwiających identyfikację swoich klientów – dodając „spelling=false” do wszystkich pól wejściowych, chociaż może to stwarzać problemy dla użytkowników” – wyjaśnia otto-js, odnosząc się do tego, że nie będą Użytkownicy mogą teraz uruchamiać tekst wprowadzony przez moduł sprawdzania pisowni.

Alternatywnie możesz dodać go tylko do pól formularzy zawierających poufne dane. Firmy mogą również usunąć możliwość „pokazywania hasła”.

Jak na ironię, zauważyliśmy formularz logowania na Twitterze, który zawiera opcję „pokaż hasło”, w której atrybut HTML „spelling” pola hasła jest ustawiony na true:

Pole pisowni na Twitterze
Pole hasła na Twitterze zawiera „Pokaż hasło”, a pisownia jest ustawiona na „Prawda” (uśpiony komputer)

Jako dodatkowy środek ostrożności użytkownicy Chrome i Edge mogą wyłączyć ulepszone sprawdzanie pisowni (postępując zgodnie z powyższymi krokami) lub Usuń dodatek Microsoft Editor z Edge Obie firmy sprawdzają nawet rozszerzone moduły sprawdzania pisowni, aby wykluczyć przetwarzanie poufnych pól, takich jak hasła.

READ  Blizzard zmieni nazwę McCree z Overwatch, na cześć zwolnionego pracownika