Le funzionalità estese di controllo ortografico nei browser Web Google Chrome e Microsoft Edge trasferiscono i dati dei moduli, comprese le informazioni di identificazione personale (PII) e, in alcuni casi, le password, rispettivamente a Google e Microsoft.
Sebbene questa possa essere una caratteristica ben nota e prevista di questi browser Web, solleva preoccupazioni su cosa succede ai dati dopo la trasmissione e quanto sia sicura questa pratica, in particolare quando si tratta di campi password.
Chrome ed Edge vengono entrambi forniti con correttori ortografici di base abilitati. Tuttavia, funzionalità come il controllo ortografico migliorato in Chrome o Microsoft Editor quando abilitate manualmente dall’utente presentano questi potenziali rischi per la privacy.
Spell-jacking: questo è il correttore ortografico che invia informazioni PII a Big Tech
Quando si utilizzano i principali browser Web come Chrome ed Edge, i dati dei moduli vengono inviati rispettivamente a Google e Microsoft, se sono abilitate le funzionalità avanzate di controllo ortografico.
A seconda del sito Web che stai visitando, i dati del modulo stesso possono includere informazioni di identificazione personale, inclusi ma non limitati a numeri di previdenza sociale (SSN) / numeri di previdenza sociale (SIN), nome, indirizzo, e-mail, data di nascita (DOB) e informazioni di contatto, informazioni bancarie e di pagamento, ecc.
Josh Summit, co-fondatore e chief technology officer della società di sicurezza JavaScript OTTO-JS, ha scoperto questo problema durante il test del rilevamento del comportamento degli script della sua azienda.
Nei casi in cui il controllo ortografico avanzato di Chrome o l’editor Microsoft di Edge (controllo ortografico) era abilitato, “qualsiasi cosa” inserita nei campi del modulo in questi browser veniva inviata a Google e Microsoft.
“Inoltre, se fai clic su Mostra password, il correttore ortografico migliorato invia la tua password, che è fondamentalmente l’ortografia dei tuoi dati”, spiega otto-js a Post sul blog.
“Alcuni dei più grandi siti Web del mondo sono soggetti all’invio di informazioni personali riservate degli utenti a Google e Microsoft, inclusi nome utente, e-mail e password, quando gli utenti accedono o compilano moduli. È ancora più importante che le aziende lo comunichino ai propri credenziali. Organizzazione aziendale di risorse interne come database e infrastruttura cloud.
Gli utenti spesso fanno affidamento sull’opzione “Mostra password” sui siti in cui non è consentito copiare e incollare le password, ad esempio, o quando sospettano di averle digitate in modo errato.
Per illustrare, otto-js ha condiviso un esempio di un utente che inserisce una credenziale sulla piattaforma Cloud di Alibaba nel browser Web Chrome, sebbene per questa demo sia possibile utilizzare qualsiasi sito Web.
Con il controllo ortografico avanzato abilitato e supponendo che l’utente faccia clic su Mostra password, i campi del modulo che includono nome utente e password vengono inviati a Google all’indirizzo googleapis.com.
Un video dimostrativo è stato anche condiviso dall’azienda:
BleepingComputer ha anche notato che le credenziali venivano trasferite a Google nei nostri test utilizzando Chrome per visitare i principali siti come:
- CNN – Nome utente e password quando si utilizza Mostra password
- Facebook.com – Sia nome utente che password quando si utilizza Mostra password
- SSA.gov (Social Security Login) — Solo campo nome utente
- Bank of America – Solo campo nome utente
- Verizon – Solo campo nome utente
Soluzione HTML semplice: “Ortografia = False”
Sebbene i campi del modulo vengano trasmessi in modo sicuro tramite HTTPS, potrebbe non essere immediatamente ovvio cosa accade ai dati dell’utente una volta che raggiungono la terza parte, in questo esempio il server di Google.
“Il Funzionalità di ortografia migliorata Richiede che l’utente sia abilitato”, ha confermato un portavoce di Google a BleepingComputer. Tieni presente che ciò è in conflitto con il correttore ortografico di base che è abilitato in Chrome per impostazione predefinita e non trasferisce i dati a Google.
Per verificare se il controllo ortografico avanzato è abilitato in Chrome, copia e incolla il seguente link nella barra degli indirizzi. Puoi quindi scegliere di attivarlo o disattivarlo:
chrome://impostazioni/? ricerca = Avanzata + Ortografia + Controllo
Come si può vedere dallo screenshot, la descrizione della funzione afferma esplicitamente che con il controllo ortografico avanzato abilitato, “il testo digitato nel browser viene inviato a Google”.
“Il testo che un utente digita può essere un’informazione personale sensibile che Google non allega ad alcuna identità dell’utente e la elabora solo temporaneamente sul server. Per garantire ulteriormente la privacy dell’utente, escluderemo in modo proattivo le password dal controllo ortografico”, ha continuato Google nel suo congiunto dichiarazione con noi.
“Apprezziamo la collaborazione con la comunità della sicurezza e siamo sempre alla ricerca di modi per proteggere meglio la privacy degli utenti e le informazioni sensibili”.
Per Edge, il correttore ortografico e grammaticale di Microsoft Editor è un file Componente aggiuntivo del browser che deve essere installato in modo esplicito affinché si verifichi questo comportamento.
BleepingComputer ha contattato Microsoft prima della pubblicazione. Ci è stato detto che la questione è allo studio ma non abbiamo ancora ricevuto risposta.
otto-js ha chiamato il vettore di attacco “Spell-jacking” e ha espresso la sua preoccupazione agli utenti di servizi cloud come Office 365, Alibaba Cloud, Google Cloud – Secret Manager, Amazon AWS – Secrets Manager e LastPass.
In risposta al rapporto otto-js, sia AWS che LastPass hanno attenuato il problema. Nel caso di LastPass, il rimedio è stato raggiunto aggiungendo un semplice attributo HTML ortografia = “sbagliato” Al campo password:
L’attributo HTML “Ortografia” quando viene lasciato dai campi di immissione del testo del modulo è I browser Web di solito presumono che sia vero Per impostazione predefinita. Campo di input con il controllo ortografico impostato esplicitamente su Falso Non verrà elaborato dal controllo ortografico del browser web.
“Le aziende possono mitigare il rischio di condividere informazioni di identificazione personale per i propri clienti, aggiungendo ‘ortografia = false’ a tutti i campi di input, sebbene ciò possa creare problemi agli utenti”, spiega otto-js, riferendosi al fatto che non lo faranno Gli utenti sono ora in grado di eseguire il testo immesso tramite il controllo ortografico.
In alternativa, puoi aggiungerlo solo ai campi del modulo che contengono dati sensibili. Le aziende possono anche rimuovere la possibilità di “mostrare la password”.
Ironia della sorte, abbiamo notato il modulo di accesso a Twitter, che viene fornito con un’opzione “mostra password”, in cui l’attributo HTML “ortografico” del campo password è impostato su true:
Come ulteriore precauzione, gli utenti di Chrome ed Edge possono disattivare il controllo ortografico avanzato (seguendo i passaggi precedenti) o Rimuovere il componente aggiuntivo Microsoft Editor da Edge Le due società esaminano anche i correttori ortografici estesi per escludere l’elaborazione di campi sensibili, come le password.