Rozszerzone funkcje sprawdzania pisowni w przeglądarkach internetowych Google Chrome i Microsoft Edge przesyłają dane formularzy, w tym informacje umożliwiające identyfikację osoby (PII) oraz w niektórych przypadkach hasła, odpowiednio do Google i Microsoft.
Chociaż może to być dobrze znana i zamierzona funkcja tych przeglądarek internetowych, budzi obawy co do tego, co dzieje się z danymi po ich przesłaniu i jak bezpieczna jest ta praktyka, szczególnie jeśli chodzi o pola haseł.
Zarówno Chrome, jak i Edge są dostarczane z włączoną podstawową funkcją sprawdzania pisowni. Jednak funkcje, takie jak ulepszone sprawdzanie pisowni w przeglądarce Chrome lub edytorze Microsoft, po ręcznym włączeniu przez użytkownika, stanowią potencjalne zagrożenie dla prywatności.
Przechwytywanie pisowni: To jest moduł sprawdzania pisowni, który wysyła informacje umożliwiające identyfikację użytkownika do Big Tech
Podczas korzystania z głównych przeglądarek internetowych, takich jak Chrome i Edge, dane formularzy są wysyłane odpowiednio do Google i Microsoft, jeśli włączone są rozszerzone funkcje sprawdzania pisowni.
W zależności od odwiedzanej witryny internetowej, same dane formularza mogą zawierać informacje umożliwiające identyfikację osoby – w tym między innymi numery ubezpieczenia społecznego (SSN) / numery ubezpieczenia społecznego (SIN), imię i nazwisko, adres, adres e-mail, datę urodzenia (DOB) i dane kontaktowe, informacje o banku i płatności itp.
Josh Summit, współzałożyciel i dyrektor ds. technologii firmy OTTO-JS zajmującej się bezpieczeństwem JavaScript, odkrył ten problem podczas testowania wykrywania zachowań skryptów przez jego firmę.
W przypadkach, gdy Chrome Enhanced Spellcheck lub Edge’s Microsoft Editor (sprawdzanie pisowni) były włączone, „wszystko” wprowadzone w polach formularzy w tych przeglądarkach było wysyłane do Google i Microsoft.
„Ponadto, jeśli klikniesz Pokaż hasło, ulepszona funkcja sprawdzania pisowni wyśle twoje hasło, które w zasadzie jest pisownią twoich danych” – wyjaśnia otto-js na Post na blogu.
„Niektóre z największych witryn internetowych na świecie podlegają przesyłaniu do Google i Microsoft poufnych informacji umożliwiających identyfikację użytkowników, w tym nazwy użytkownika, adresu e-mail i haseł, gdy użytkownicy logują się lub wypełniają formularze. Jeszcze ważniejsze jest, aby firmy ujawniły to swoim poświadczenia. Organizacja korporacyjnych zasobów wewnętrznych, takich jak bazy danych i infrastruktura chmury.”
Użytkownicy często polegają na opcji „Pokaż hasło” w witrynach, w których kopiowanie i wklejanie haseł jest niedozwolone, na przykład, lub gdy podejrzewają, że je błędnie wpisali.
Aby to zilustrować, otto-js udostępnił przykład użytkownika wprowadzającego dane uwierzytelniające na platformie Alibaba Cloud w przeglądarce Chrome – chociaż do tego demo można użyć dowolnej witryny.
Po włączeniu ulepszonego sprawdzania pisowni i założeniu, że użytkownik kliknie opcję Pokaż hasło, pola formularza, w tym nazwa użytkownika i hasło, są przesyłane do Google pod adresem googleapis.com.
Firma udostępniła również film demonstracyjny:
BleepingComputer zauważył również, że dane uwierzytelniające są przesyłane do Google w naszych testach przy użyciu Chrome do odwiedzania głównych witryn, takich jak:
- CNN – Nazwa użytkownika i hasło podczas korzystania z funkcji Pokaż hasło
- Facebook.com – Zarówno nazwa użytkownika, jak i hasło podczas korzystania z funkcji Pokaż hasło
- SSA.gov (logowanie do zabezpieczenia społecznego) — tylko pole nazwy użytkownika
- Bank of America — tylko pole nazwy użytkownika
- Verizon — tylko pole nazwy użytkownika
Proste rozwiązanie HTML: „Pisownia = Fałsz”
Chociaż pola formularzy są bezpiecznie przesyłane przez HTTPS, może nie być od razu oczywiste, co dzieje się z danymi użytkownika, gdy dotrą one do strony trzeciej, w tym przypadku do serwera Google.
„The Ulepszona funkcja pisowni Wymaga włączenia włączenia użytkownika” – potwierdził rzecznik Google BleepingComputer. Pamiętaj, że jest to sprzeczne z podstawowym modułem sprawdzania pisowni, który jest domyślnie włączony w Chrome i nie przesyła danych do Google.
Aby sprawdzić, czy ulepszone sprawdzanie pisowni jest włączone w Chrome, skopiuj poniższy link i wklej go w pasku adresu. Następnie możesz go włączyć lub wyłączyć:
chrome://ustawienia/? wyszukiwanie = Ulepszone + Pisownia + Sprawdź
Jak widać na zrzucie ekranu, opis funkcji wyraźnie stwierdza, że przy włączonym Ulepszonym sprawdzaniu pisowni „tekst, który wpisujesz w przeglądarce, jest wysyłany do Google”.
„Tekst wpisywany przez użytkownika może być poufnymi danymi osobowymi, których Google nie łączy z żadną tożsamością użytkownika i tylko tymczasowo przetwarza go na serwerze. Aby jeszcze bardziej zapewnić prywatność użytkownika, będziemy proaktywnie wykluczać hasła ze sprawdzania pisowni „, kontynuował Google we wspólnym oświadczenie z nami.
„Cenimy współpracę ze społecznością zajmującą się bezpieczeństwem i zawsze szukamy sposobów na lepszą ochronę prywatności użytkowników i poufnych informacji”.
W przypadku Edge, sprawdzanie pisowni i gramatyki edytora Microsoft to plik Dodatek do przeglądarki które muszą być jawnie zainstalowane, aby wystąpiło to zachowanie.
BleepingComputer skontaktował się z firmą Microsoft przed publikacją. Powiedziano nam, że sprawa jest rozpatrywana, ale nie otrzymaliśmy jeszcze odpowiedzi.
Firma otto-js nazwała wektor ataku „Spell-jacking” i wyraziła swoje zaniepokojenie użytkownikami usług w chmurze, takich jak Office 365, Alibaba Cloud, Google Cloud – Secret Manager, Amazon AWS – Secrets Manager i LastPass.
W odpowiedzi na raport otto-js zarówno AWS, jak i LastPass złagodziły ten problem. W przypadku LastPass rozwiązanie zostało osiągnięte poprzez dodanie prostego atrybutu HTML pisownia = „źle” Do pola hasła:
Atrybut HTML „pisownia” po opuszczeniu pól wprowadzania tekstu formularza to Przeglądarki internetowe zazwyczaj zakładają, że to prawda Domyślnie. Pole wejściowe, w którym sprawdzanie pisowni jest jawnie ustawione na Fałszywy Nie zostanie przetworzony przez moduł sprawdzania pisowni przeglądarki internetowej.
„Firmy mogą ograniczyć ryzyko udostępniania informacji umożliwiających identyfikację swoich klientów – dodając „spelling=false” do wszystkich pól wejściowych, chociaż może to stwarzać problemy dla użytkowników” – wyjaśnia otto-js, odnosząc się do tego, że nie będą Użytkownicy mogą teraz uruchamiać tekst wprowadzony przez moduł sprawdzania pisowni.
Alternatywnie możesz dodać go tylko do pól formularzy zawierających poufne dane. Firmy mogą również usunąć możliwość „pokazywania hasła”.
Jak na ironię, zauważyliśmy formularz logowania na Twitterze, który zawiera opcję „pokaż hasło”, w której atrybut HTML „spelling” pola hasła jest ustawiony na true:
Jako dodatkowy środek ostrożności użytkownicy Chrome i Edge mogą wyłączyć ulepszone sprawdzanie pisowni (postępując zgodnie z powyższymi krokami) lub Usuń dodatek Microsoft Editor z Edge Obie firmy sprawdzają nawet rozszerzone moduły sprawdzania pisowni, aby wykluczyć przetwarzanie poufnych pól, takich jak hasła.
„Nieuleczalny entuzjasta muzyki. Piwo. Totalny odkrywca. Wichrzyciel. Oddany fanatyk sieci”.
More Stories
Połączenia na Twitterze są teraz domyślnie włączone. Oto jak to wyłączyć
Electronic Arts zwalnia 5% siły roboczej, zamyka studio i odwołuje gry
Remedy Entertainment kupuje prawa do serii Control od 505 Games za 17 milionów euro