Rozšírené funkcie kontroly pravopisu vo webových prehliadačoch Google Chrome a Microsoft Edge prenášajú údaje formulárov vrátane informácií umožňujúcich identifikáciu osôb (PII) a v niektorých prípadoch hesiel do spoločností Google a Microsoft.
Aj keď to môže byť dobre známa a zamýšľaná funkcia týchto webových prehliadačov, vyvoláva obavy, čo sa stane s údajmi po prenose a nakoľko je tento postup bezpečný, najmä pokiaľ ide o polia hesiel.
Chrome aj Edge sa dodávajú so zapnutou základnou kontrolou pravopisu. Funkcie, ako je vylepšená kontrola pravopisu v prehliadači Chrome alebo Microsoft Editor, keď ich používateľ manuálne povolí, však predstavujú tieto potenciálne riziká ochrany osobných údajov.
Spell-jacking: Toto je kontrola pravopisu, ktorá odosiela informácie PII spoločnosti Big Tech
Pri používaní veľkých webových prehliadačov, ako sú Chrome a Edge, sa údaje formulárov odosielajú spoločnostiam Google a Microsoft, ak sú povolené vylepšené funkcie kontroly pravopisu.
V závislosti od webovej stránky, ktorú navštevujete, môžu samotné údaje formulára zahŕňať informácie umožňujúce osobnú identifikáciu – okrem iného vrátane čísel sociálneho zabezpečenia (SSN) / čísel sociálneho zabezpečenia (SIN), mena, adresy, e-mailu, dátumu narodenia (DOB) a kontaktné údaje, bankové a platobné údaje atď.
Josh Summit, spoluzakladateľ a technologický riaditeľ bezpečnostnej spoločnosti JavaScript OTTO-JS, objavil tento problém pri testovaní detekcie správania skriptov svojej spoločnosti.
V prípadoch, keď bola povolená rozšírená kontrola pravopisu v prehliadači Chrome alebo Microsoft Editor (kontrola pravopisu) v Edge, sa „všetko“ zadané do polí formulára v týchto prehliadačoch odoslalo spoločnostiam Google a Microsoft.
„Navyše, ak kliknete na Zobraziť heslo, vylepšená kontrola pravopisu odošle vaše heslo, čo je v podstate pravopis vašich údajov,“ vysvetľuje otto-js na adrese Príspevok v blogu.
„Niektoré z najväčších webových stránok na svete sú predmetom odosielania citlivých informácií umožňujúcich identifikáciu osôb spoločnosti Google a Microsoftu, vrátane používateľského mena, e-mailu a hesiel, keď sa používatelia prihlasujú alebo vypĺňajú formuláre. Pre spoločnosti je ešte dôležitejšie, aby to oznámili svojim Podniková organizácia interných aktív, ako sú databázy a cloudová infraštruktúra.“
Používatelia sa často spoliehajú na možnosť „Zobraziť heslo“ na stránkach, kde napríklad nie je povolené kopírovanie a vkladanie hesiel, alebo keď majú podozrenie, že ich zadali nesprávne.
Na ilustráciu, otto-js zdieľal príklad používateľa zadávajúceho prihlasovacie údaje na cloudovej platforme Alibaba vo webovom prehliadači Chrome – hoci pre túto ukážku možno použiť akúkoľvek webovú stránku.
Keď je povolená rozšírená kontrola pravopisu a za predpokladu, že používateľ klikne na tlačidlo Zobraziť heslo, polia formulára vrátane používateľského mena a hesla sa odošlú spoločnosti Google na adresu googleapis.com.
Spoločnosť tiež zdieľala demonštračné video:
BleepingComputer si tiež všimol, že poverenia boli prenesené do spoločnosti Google v našich testoch pomocou prehliadača Chrome na návštevu veľkých stránok, ako sú:
- CNN – Používateľské meno a heslo pri použití funkcie Zobraziť heslo
- Facebook.com – Používateľské meno aj heslo pri použití funkcie Zobraziť heslo
- SSA.gov (Social Security Login) – iba pole Používateľské meno
- Bank of America – iba pole Používateľské meno
- Verizon – iba pole používateľského mena
Jednoduché HTML riešenie: „Pravopis = nepravda“
Hoci sa polia formulárov prenášajú bezpečne cez HTTPS, nemusí byť hneď zrejmé, čo sa stane s používateľskými údajmi, keď sa dostanú k tretej strane, v tomto príklade k serveru Google.
„The Vylepšená funkcia pravopisu Vyžaduje, aby bol používateľ povolený,“ potvrdil hovorca Google pre BleepingComputer. Upozorňujeme, že je to v rozpore so základnou kontrolou pravopisu, ktorá je v prehliadači Chrome predvolene povolená a neprenáša údaje do spoločnosti Google.
Ak chcete skontrolovať, či je v prehliadači Chrome povolená vylepšená kontrola pravopisu, skopírujte a prilepte nasledujúci odkaz do panela s adresou. Potom sa môžete rozhodnúť zapnúť alebo vypnúť:
chrome://settings/? vyhľadávanie = vylepšené + pravopis + kontrola
Ako je možné vidieť na snímke obrazovky, v popise funkcie sa výslovne uvádza, že ak je povolená vylepšená kontrola pravopisu, „text, ktorý zadáte do prehliadača, sa odošle Googlu“.
„Text, ktorý používateľ zadá, môže byť citlivým osobným údajom, ktorý Google nepripája k žiadnej identite používateľa a iba dočasne ho spracúva na serveri. Aby sme ešte viac zabezpečili súkromie používateľov, proaktívne vylúčime heslá z kontroly pravopisu,“ pokračoval Google vo svojom spoločnom vyhlásenie s nami.
„Vážime si spoluprácu s bezpečnostnou komunitou a vždy hľadáme spôsoby, ako lepšie chrániť súkromie používateľov a citlivé informácie.“
Pre Edge je Microsoft Editor Spelling & Grammar Checker súborom Doplnok prehliadača ktorý musí byť explicitne nainštalovaný, aby sa toto správanie vyskytlo.
BleepingComputer kontaktoval Microsoft ešte pred zverejnením. Bolo nám povedané, že záležitosť sa posudzuje, ale zatiaľ sme nedostali odpoveď.
otto-js nazval vektor útoku „Spell-jacking“ a vyjadril svoje znepokojenie používateľom cloudových služieb, ako sú Office 365, Alibaba Cloud, Google Cloud – Secret Manager, Amazon AWS – Secrets Manager a LastPass.
V reakcii na správu otto-js AWS aj LastPass tento problém zmiernili. V prípade LastPass bola náprava dosiahnutá pridaním jednoduchého HTML atribútu pravopis = „nesprávne“ Do poľa pre heslo:
Atribút HTML „Pravopis“ pri ľavom z polí na zadávanie textu formulára je Webové prehliadače zvyčajne predpokladajú, že je to pravda Predvolene. Vstupné pole s explicitne nastavenou kontrolou pravopisu na Nepravdivé Nebude spracované kontrolou pravopisu webového prehliadača.
„Firmy môžu zmierniť riziko zdieľania osobných údajov pre svojich zákazníkov – pridaním „pravopisu = nepravda“ do všetkých vstupných polí, hoci to môže používateľom spôsobiť problémy,“ vysvetľuje otto-js s odkazom na skutočnosť, že nebudú Používatelia teraz môžu spustiť text zadaný prostredníctvom kontroly pravopisu.
Prípadne ho môžete pridať iba do polí formulára, ktoré obsahujú citlivé údaje. Spoločnosti môžu tiež odstrániť možnosť „zobraziť heslo“.
Je iróniou, že sme si všimli prihlasovací formulár na Twitteri, ktorý je dodávaný s možnosťou „zobraziť heslo“, kde je atribút HTML „pravopis“ v poli hesla nastavený na hodnotu true:
Ako ďalšie preventívne opatrenie môžu používatelia prehliadača Chrome a Edge vypnúť rozšírenú kontrolu pravopisu (podľa krokov vyššie) alebo Odstráňte doplnok Microsoft Editor z Edge Obe spoločnosti dokonca kontrolujú rozšírenú kontrolu pravopisu, aby vylúčili spracovanie citlivých polí, ako sú heslá.
„Bacon ninja. Alkoholický guru. Hrdý prieskumník. Vášnivý nadšenec popkultúry.“