Google e Microsoft possono ottenere le tue password tramite il controllo ortografico di un browser web

La password

Le funzionalità estese di controllo ortografico nei browser Web Google Chrome e Microsoft Edge trasferiscono i dati dei moduli, comprese le informazioni di identificazione personale (PII) e, in alcuni casi, le password, rispettivamente a Google e Microsoft.

Sebbene questa possa essere una caratteristica ben nota e prevista di questi browser Web, solleva preoccupazioni su cosa succede ai dati dopo la trasmissione e quanto sia sicura questa pratica, in particolare quando si tratta di campi password.

Chrome ed Edge vengono entrambi forniti con correttori ortografici di base abilitati. Tuttavia, funzionalità come il controllo ortografico migliorato in Chrome o Microsoft Editor quando abilitate manualmente dall’utente presentano questi potenziali rischi per la privacy.

Spell-jacking: questo è il correttore ortografico che invia informazioni PII a Big Tech

Quando si utilizzano i principali browser Web come Chrome ed Edge, i dati dei moduli vengono inviati rispettivamente a Google e Microsoft, se sono abilitate le funzionalità avanzate di controllo ortografico.

A seconda del sito Web che stai visitando, i dati del modulo stesso possono includere informazioni di identificazione personale, inclusi ma non limitati a numeri di previdenza sociale (SSN) / numeri di previdenza sociale (SIN), nome, indirizzo, e-mail, data di nascita (DOB) e informazioni di contatto, informazioni bancarie e di pagamento, ecc.

Josh Summit, co-fondatore e chief technology officer della società di sicurezza JavaScript OTTO-JS, ha scoperto questo problema durante il test del rilevamento del comportamento degli script della sua azienda.

Nei casi in cui il controllo ortografico avanzato di Chrome o l’editor Microsoft di Edge (controllo ortografico) era abilitato, “qualsiasi cosa” inserita nei campi del modulo in questi browser veniva inviata a Google e Microsoft.

“Inoltre, se fai clic su Mostra password, il correttore ortografico migliorato invia la tua password, che è fondamentalmente l’ortografia dei tuoi dati”, spiega otto-js a Post sul blog.

READ  Ecco come si pronuncia Zelda: Tears of the Kingdom, dice Nintendo

“Alcuni dei più grandi siti Web del mondo sono soggetti all’invio di informazioni personali riservate degli utenti a Google e Microsoft, inclusi nome utente, e-mail e password, quando gli utenti accedono o compilano moduli. È ancora più importante che le aziende lo comunichino ai propri credenziali. Organizzazione aziendale di risorse interne come database e infrastruttura cloud.

Campi del modulo di accesso Alibaba
Campi del modulo di accesso Alibaba, con ‘Mostra password’ abilitato (Otto-JS)
Il correttore ortografico migliorato trasmette la password a Microsoft e Google
Il correttore ortografico migliorato di Chrome trasmette la password a Google (Otto-JS)

Gli utenti spesso fanno affidamento sull’opzione “Mostra password” sui siti in cui non è consentito copiare e incollare le password, ad esempio, o quando sospettano di averle digitate in modo errato.

Per illustrare, otto-js ha condiviso un esempio di un utente che inserisce una credenziale sulla piattaforma Cloud di Alibaba nel browser Web Chrome, sebbene per questa demo sia possibile utilizzare qualsiasi sito Web.

Con il controllo ortografico avanzato abilitato e supponendo che l’utente faccia clic su Mostra password, i campi del modulo che includono nome utente e password vengono inviati a Google all’indirizzo googleapis.com.

Un video dimostrativo è stato anche condiviso dall’azienda:

BleepingComputer ha anche notato che le credenziali venivano trasferite a Google nei nostri test utilizzando Chrome per visitare i principali siti come:

  • CNN – Nome utente e password quando si utilizza Mostra password
  • Facebook.com – Sia nome utente che password quando si utilizza Mostra password
  • SSA.gov (Social Security Login) — Solo campo nome utente
  • Bank of America – Solo campo nome utente
  • Verizon – Solo campo nome utente

Soluzione HTML semplice: “Ortografia = False”

Sebbene i campi del modulo vengano trasmessi in modo sicuro tramite HTTPS, potrebbe non essere immediatamente ovvio cosa accade ai dati dell’utente una volta che raggiungono la terza parte, in questo esempio il server di Google.

READ  ICQ chiuderà il 26 giugno di quest'anno

“Il Funzionalità di ortografia migliorata Richiede che l’utente sia abilitato”, ha confermato un portavoce di Google a BleepingComputer. Tieni presente che ciò è in conflitto con il correttore ortografico di base che è abilitato in Chrome per impostazione predefinita e non trasferisce i dati a Google.

Per verificare se il controllo ortografico avanzato è abilitato in Chrome, copia e incolla il seguente link nella barra degli indirizzi. Puoi quindi scegliere di attivarlo o disattivarlo:

chrome://impostazioni/? ricerca = Avanzata + Ortografia + Controllo

Impostazioni di ortografia avanzata di Chrome
L’impostazione Controllo ortografico avanzato deve essere abilitata in Chrome (computer inattivo)

Come si può vedere dallo screenshot, la descrizione della funzione afferma esplicitamente che con il controllo ortografico avanzato abilitato, “il testo digitato nel browser viene inviato a Google”.

“Il testo che un utente digita può essere un’informazione personale sensibile che Google non allega ad alcuna identità dell’utente e la elabora solo temporaneamente sul server. Per garantire ulteriormente la privacy dell’utente, escluderemo in modo proattivo le password dal controllo ortografico”, ha continuato Google nel suo congiunto dichiarazione con noi.

“Apprezziamo la collaborazione con la comunità della sicurezza e siamo sempre alla ricerca di modi per proteggere meglio la privacy degli utenti e le informazioni sensibili”.

Per Edge, il correttore ortografico e grammaticale di Microsoft Editor è un file Componente aggiuntivo del browser che deve essere installato in modo esplicito affinché si verifichi questo comportamento.

BleepingComputer ha contattato Microsoft prima della pubblicazione. Ci è stato detto che la questione è allo studio ma non abbiamo ancora ricevuto risposta.

otto-js ha chiamato il vettore di attacco “Spell-jacking” e ha espresso la sua preoccupazione agli utenti di servizi cloud come Office 365, Alibaba Cloud, Google Cloud – Secret Manager, Amazon AWS – Secrets Manager e LastPass.

READ  Epic afferma che i suoi piani per il negozio di giochi iOS sono sospesi perché Apple ha vietato il suo account sviluppatore

In risposta al rapporto otto-js, sia AWS che LastPass hanno attenuato il problema. Nel caso di LastPass, il rimedio è stato raggiunto aggiungendo un semplice attributo HTML ortografia = “sbagliato” Al campo password:

campo password lastpass
Il campo “password” di LastPass ora include spelling = attributo HTML errato (computer inattivo)

L’attributo HTML “Ortografia” quando viene lasciato dai campi di immissione del testo del modulo è I browser Web di solito presumono che sia vero Per impostazione predefinita. Campo di input con il controllo ortografico impostato esplicitamente su Falso Non verrà elaborato dal controllo ortografico del browser web.

“Le aziende possono mitigare il rischio di condividere informazioni di identificazione personale per i propri clienti, aggiungendo ‘ortografia = false’ a tutti i campi di input, sebbene ciò possa creare problemi agli utenti”, spiega otto-js, riferendosi al fatto che non lo faranno Gli utenti sono ora in grado di eseguire il testo immesso tramite il controllo ortografico.

In alternativa, puoi aggiungerlo solo ai campi del modulo che contengono dati sensibili. Le aziende possono anche rimuovere la possibilità di “mostrare la password”.

Ironia della sorte, abbiamo notato il modulo di accesso a Twitter, che viene fornito con un’opzione “mostra password”, in cui l’attributo HTML “ortografico” del campo password è impostato su true:

Campo di ortografia di Twitter
Il campo della password di Twitter ha “Mostra password” e l’ortografia è impostata su “Vero” (computer inattivo)

Come ulteriore precauzione, gli utenti di Chrome ed Edge possono disattivare il controllo ortografico avanzato (seguendo i passaggi precedenti) o Rimuovere il componente aggiuntivo Microsoft Editor da Edge Le due società esaminano anche i correttori ortografici estesi per escludere l’elaborazione di campi sensibili, come le password.

We will be happy to hear your thoughts

Leave a reply