To je otkrila tvrtka za sigurnost JavaScripta osjetljivi podaci uneseni u obrasce preglednika Chrome i Edge šalju se poslužitelju odgovarajuće tvrtke ako je omogućena značajka napredne provjere pravopisa.
Poboljšana provjera pravopisa u pregledniku Chrome i Microsoft Editor u pregledniku Edge prikupljaju podatke i šalju ih natrag na poslužitelj dotične tvrtke. Podaci uključuju sve osjetljive podatke, uključujući lozinke unesene u obrasce za prijavu. Iako postoji način da se to onemogući.
Usisavanje lozinki s uključenom provjerom pravopisa
Google sa svojim Chromeom i Microsoft sa svojim Edgeom dva su istaknutija preglednika koja danas imamo, a svakodnevno služe većinu web zahtjeva. Iako je poznato da posjeduju neke od naših podataka za oglase, intrigantno je saznati da mogu usisati osjetljivije podatke – uključujući lozinke – kada je uključena značajka napredne provjere pravopisa.
Prema Joshu Summittu, suosnivaču i tehničkom direktoru tvrtke za sigurnost JavaScripta otto-js, koji je otkrio ovaj problempodaci koje usisa Google ili Microsoft ovise o web stranici koju posjećujete, i što je najvažnije – događa se samo kada je uključen Microsoftov uređivač u Edgeu ili poboljšana provjera pravopisa u Chromeu.
Iako Chrome i Edge pružaju osnovnu podršku za provjeru pravopisa – koja ne prikuplja nikakve podatke, napredne značajke provjere pravopisa usisavaju unos podataka u obrascima preglednika. Korisnici uključuju ove značajke kako bi ispravili svoje pravopisne pogreške i bili razumljiviji.
Na temelju otto-js izvješća, podaci uzeti u ovom procesu uključuju sve vrste PII-a, uključujući, ali ne ograničavajući se na Brojevi socijalnog osiguranja (SSN), imena, adrese, e-pošta, datum rođenja (DOB), podaci za kontakt, podaci o banci i plaćanju i tako dalje – ovisno o web stranici.
A u slučaju kada korisnik omogući ‘Pokaži lozinku‘ – kako bi se uvjerio da upisuje ispravnu – preglednik također usisava unesenu lozinku na svoj poslužitelj. Iako se svi ti podaci prenose kroz HTTPS cjevovod, nepoznato je koliko su dobro podaci zaštićeni na Googleovim ili Microsoftovim poslužiteljima.
Summit je objasnio ovo ponašanje primjerom korisnika koji unosi vjerodajnice na Alibabin oblak i otkriva da su uneseni podaci poslani na googleapis.com. Pa, Google je to branio rekavši to “Značajka poboljšane provjere pravopisa zahtijeva uključivanje korisnika,” do BleepingComputer, što je istina, kao što je izričito spominje prikupljati podatke kada je uključena poboljšana provjera pravopisa.
Iako, postoji zaobilazno rješenje. Korisnici mogu isključiti ovo ponašanje čak i ako je uključena napredna provjera pravopisa. Sve što trebate učiniti je kopirati i zalijepiti sljedeću vezu u svoju adresnu traku i postaviti opciju odabira na NETOČNO – Kao “provjera pravopisa=false“.
chrome://settings/?search=Enhanced+Spell+Check
AWS i LastPass su ublažili ovo ponašanje postavljanjem naredbe na false sa svoje strane, dok druge velike web stranice tek trebaju poduzeti mjere.
