Os recursos estendidos de verificação ortográfica nos navegadores Google Chrome e Microsoft Edge transferem dados de formulário, incluindo informações de identificação pessoal (PII) e, em alguns casos, senhas, para o Google e a Microsoft, respectivamente.
Embora esse possa ser um recurso bem conhecido e pretendido desses navegadores da Web, ele levanta preocupações sobre o que acontece com os dados após a transmissão e quão segura é essa prática, principalmente quando se trata de campos de senha.
O Chrome e o Edge são fornecidos com corretores ortográficos básicos ativados. Mas, recursos como verificação ortográfica aprimorada no Chrome ou no Microsoft Editor quando ativados manualmente pelo usuário apresentam esses riscos potenciais de privacidade.
Spell-jacking: Este é o corretor ortográfico que envia informações de PII para a Big Tech
Ao usar os principais navegadores da Web, como Chrome e Edge, os dados do formulário são enviados ao Google e à Microsoft, respectivamente, se os recursos aprimorados de verificação ortográfica estiverem ativados.
Dependendo do site que você está visitando, os dados do formulário em si podem incluir informações de identificação pessoal – incluindo, entre outros, Números de Previdência Social (SSNs) / Números de Previdência Social (SINs), nome, endereço, e-mail, data de nascimento (DOB) e informações de contato, informações bancárias e de pagamento, etc.
Josh Summit, cofundador e diretor de tecnologia da empresa de segurança JavaScript OTTO-JS, descobriu esse problema ao testar a detecção de comportamento de script de sua empresa.
Nos casos em que o Chrome Enhanced Spellcheck ou o Microsoft Editor do Edge (verificador ortográfico) foi ativado, “qualquer coisa” inserida nos campos de formulário nesses navegadores foi enviada ao Google e à Microsoft.
“Além disso, se você clicar em Mostrar senha, o corretor ortográfico aprimorado enviará sua senha, que é basicamente a ortografia de seus dados”, explica otto-js em Postagem do blog.
“Alguns dos maiores sites do mundo estão sujeitos ao envio de informações confidenciais de PII de usuários ao Google e à Microsoft, incluindo nome de usuário, e-mail e senhas, quando os usuários fazem login ou preenchem formulários. É ainda mais importante que as empresas divulguem isso para seus organização empresarial de ativos internos, como bancos de dados e infraestrutura em nuvem.”
Os usuários geralmente confiam na opção “Mostrar senha” em sites onde copiar e colar senhas não é permitido, por exemplo, ou quando suspeitam que as digitaram incorretamente.
Para ilustrar, o otto-js compartilhou um exemplo de um usuário inserindo uma credencial na plataforma Cloud do Alibaba no navegador Chrome – embora qualquer site possa ser usado para esta demonstração.
Com a verificação ortográfica avançada ativada e supondo que o usuário clique em Mostrar senha, os campos do formulário, incluindo nome de usuário e senha, serão enviados ao Google em googleapis.com.
Um vídeo de demonstração também foi compartilhado pela empresa:
O BleepingComputer também notou que as credenciais estavam sendo transferidas para o Google em nossos testes usando o Chrome para visitar os principais sites como:
- CNN – Nome de usuário e senha ao usar Mostrar senha
- Facebook.com – Nome de usuário e senha ao usar Mostrar senha
- SSA.gov (Social Security Login) — campo de nome de usuário apenas
- Bank of America – Somente campo de nome de usuário
- Verizon – Somente campo de nome de usuário
Solução HTML simples: “Ortografia = False”
Embora os campos de formulário sejam transmitidos com segurança por HTTPS, pode não ser imediatamente óbvio o que acontece com os dados do usuário quando chegam ao terceiro, neste exemplo, o servidor do Google.
“O Recurso de ortografia aprimorado Requer que o usuário esteja ativado”, confirmou um porta-voz do Google ao BleepingComputer. Observe que isso entra em conflito com o corretor ortográfico básico que está ativado no Chrome por padrão e não transfere dados para o Google.
Para verificar se a verificação ortográfica avançada está ativada no Chrome, copie e cole o seguinte link na barra de endereço. Você pode então optar por ativá-lo ou desativá-lo:
chrome://configurações/? pesquisa = Aprimorado + Ortografia + Verificação
Como pode ser visto na captura de tela, a descrição do recurso afirma explicitamente que, com a verificação ortográfica aprimorada ativada, “o texto que você digita no navegador é enviado ao Google”.
“Texto que um usuário digita pode ser informações pessoais confidenciais que o Google não anexa a nenhuma identidade de usuário e as processa apenas no servidor temporariamente. Para garantir ainda mais a privacidade do usuário, excluiremos proativamente as senhas da verificação ortográfica”, continuou o Google em seu comunicado conjunto declaração conosco.
“Valorizamos a colaboração com a comunidade de segurança e estamos sempre procurando maneiras de proteger melhor a privacidade do usuário e as informações confidenciais”.
Para Edge, o Microsoft Editor Spelling & Grammar Checker é um arquivo Complemento do navegador que deve ser instalado explicitamente para que esse comportamento ocorra.
A BleepingComputer entrou em contato com a Microsoft antes da publicação. Fomos informados de que o assunto está sob consideração, mas ainda não recebemos uma resposta.
otto-js chamou o vetor de ataque de “Spell-jacking” e expressou sua preocupação aos usuários de serviços em nuvem como Office 365, Alibaba Cloud, Google Cloud – Secret Manager, Amazon AWS – Secrets Manager e LastPass.
Em resposta ao relatório otto-js, tanto a AWS quanto o LastPass atenuaram o problema. No caso do LastPass, a solução foi alcançada adicionando um atributo HTML simples ortografia = “errado” Para o campo de senha:
O atributo HTML “Ortografia” quando deixado nos campos de entrada de texto do formulário é Os navegadores da Web geralmente assumem que é verdade Por padrão. Campo de entrada com verificação ortográfica explicitamente definida como Falso Ele não será processado pelo verificador ortográfico do navegador da web.
“As empresas podem mitigar o risco de compartilhar informações de identificação pessoal para seus clientes – adicionando ‘spelling=false’ a todos os campos de entrada, embora isso possa criar problemas para os usuários”, explica otto-js, referindo-se ao fato de que eles não Os usuários agora podem executar o texto inserido pelo verificador ortográfico.
Como alternativa, você só pode adicioná-lo a campos de formulário que contenham dados confidenciais. As empresas também podem remover a capacidade de ‘mostrar senha’.
Ironicamente, notamos o formulário de login do Twitter, que vem com a opção “mostrar senha”, onde o atributo HTML “ortografia” do campo de senha é definido como verdadeiro:
Como precaução adicional, os usuários do Chrome e do Edge podem desativar a verificação ortográfica aprimorada (seguindo as etapas acima) ou Remova o complemento do Microsoft Editor do Edge As duas empresas até revisam verificadores ortográficos estendidos para descartar o processamento de campos confidenciais, como senhas.
“Entrepreneur. Professional music nerd. Beer evangelist. Avid tv aficionado. Social mediaholic.”