Os recursos estendidos de verificação ortográfica nos navegadores da Web Google Chrome e Microsoft Edge transmitem dados de formulário, incluindo informações de identificação pessoal (PII) e, em alguns casos, senhas para o Google e a Microsoft, respectivamente.
Embora este possa ser um recurso conhecido e pretendido desses navegadores da Web, ele levanta preocupações sobre o que acontecerá com os dados após a transmissão e quão segura é essa operação, especialmente quando se trata de campos de senha.
Tanto o Chrome quanto o Edge têm a verificação ortográfica básica ativada. No entanto, recursos como a verificação ortográfica avançada do Chrome ou o Editor da Microsoft, quando ativados manualmente pelos usuários, apresentam esse risco potencial de privacidade.
Verificação ortográfica: é sua verificação ortográfica que envia PII para a Big Tech
Se você usar os principais navegadores da Web, como Chrome e Edge, seus dados de formulário serão transmitidos ao Google e à Microsoft, se a verificação ortográfica aprimorada estiver ativada.
Dependendo do site que você visita, os dados do formulário em si podem incluir PII — incluindo, entre outros, Número de Seguro Social (SSN) / Número de Seguro Social (SIN), nome, endereço, e-mail, data de nascimento (DOB), informações de contato, informações bancárias e pagamento, etc.
Josh Summitt, fundador e CTO da empresa de segurança JavaScript otto-js, descobriu esse problema ao testar a detecção de comportamento de script para sua empresa.
Nos casos em que a verificação ortográfica avançada do Chrome ou o Microsoft Editor (corretor ortográfico) do Edge estão ativados, "literalmente qualquer coisa" é inserido nos campos de formulário dos navegadores. Essa navegação será transmitida ao Google e à Microsoft.
"Além disso, quando você clica em 'mostrar senha', o corretor ortográfico avançado também envia sua senha, essencialmente Pell-Jacking seus dados", explica otto-js em um post publicado no blog.
"Alguns dos maiores sites do mundo têm a capacidade de enviar PII de usuários do Google e da Microsoft, incluindo nomes de usuário, e-mails e senhas, quando os usuários fazem login ou preenchem formulários. A maior preocupação das empresas é o fato de fornecer as informações comerciais da empresa. em ativos internos, como bancos de dados e infraestrutura em nuvem."
Verificador ortográfico avançado para Chrome que encaminha senhas para o Google (otto-js)
Por exemplo, os usuários podem contar com a opção "mostrar senha" em sites que não permitem a cópia de senhas ou se suspeitarem que digitaram a senha errada.
Para demonstrar, o otto-js compartilhou um exemplo de um usuário inserindo informações na plataforma Cloud do Alibaba no navegador Chrome — embora qualquer site possa ser usado na demonstração.
Com a verificação ortográfica avançada ativada e assumindo que o usuário tocou no recurso "mostrar senha", os campos do formulário, incluindo nome de usuário e senha, serão propagados para o Google em googleapis.com.
O vídeo compartilhado pela empresa:
O BleepingComputer também viu dados sendo passados para o Google em nossos testes usando o Chrome para visitar os seguintes sites principais:
CNN — nome de usuário e senha ao usar 'exibir senha'
Facebook.com - nome de usuário e senha ao usar 'mostrar senha'
SSA.gov (Social Security Login) — campo de nome de usuário apenas
Bank of America — apenas campo de nome de usuário
Verizon — somente campo de nome de usuário
Solução HTML simples: 'spellcheck=false'
Embora a transferência de campos de formulário ocorra com segurança por HTTPS, pode não ser imediatamente óbvio o que acontece com os dados de um usuário quando chegam a um terceiro, que neste exemplo é o servidor do Google.
"A verificação ortográfica avançada exige que o usuário faça login", confirmou um porta-voz do Google ao BleepingComputer. Observe que isso contrasta com o corretor ortográfico básico ativado no Chrome por padrão e não transmite dados ao Google.
Para ver se a verificação ortográfica avançada está ativada no navegador Chrome, copie e cole o link a seguir na barra de endereço. Você pode então optar por habilitar ou desabilitar:
Como visto na captura de tela, a descrição do recurso ativado afirma que, com a verificação ortográfica avançada, "o texto que você digita no navegador é enviado ao Google".
"O texto inserido pelo usuário pode ser informações pessoais confidenciais, e o Google não anexa essas informações a nenhuma identidade de usuário e as processa apenas temporariamente no servidor. Para garantir ainda mais a privacidade dos usuários, trabalharemos para remover as senhas persistentes da verificação ortográfica." O Google continuou em sua declaração compartilhada conosco.
"Agradecemos trabalhar com a comunidade de segurança e estamos sempre procurando maneiras de proteger melhor a privacidade e as informações confidenciais de nossos usuários".
Para o Edge, o Microsoft Editor Spelling & Grammar Checker é um complemento do navegador que obviamente precisa ser instalado para que esse comportamento ocorra.
A BleepingComputer entrou em contato com a Microsoft antes da publicação. Fomos informados de que o assunto está em análise, mas ainda não ouvimos.
otto-js chama o vetor de ataque de "Spell-jacking" e expressa preocupação com usuários de serviços em nuvem como Office 365, Alibaba Cloud, Google Cloud - Secret Manager, Amazon AWS - Secrets Manager e LastPass.
Em resposta ao relatório otto-js, tanto a AWS quanto o LastPass atenuaram o problema. No caso do LastPass, a solução é obtida adicionando um elemento HTML simples spellcheck="false" ao campo de senha:
O atributo HTML "verificação ortográfica" se os campos de entrada de texto fora do formato são normalmente assumidos pelos navegadores da Web como corretos por padrão. Um campo de entrada com 'verificação ortográfica' explicitamente definida como false não será processado pelo verificador ortográfico do navegador da web.
"As empresas podem reduzir o risco de compartilhar PII de seus clientes - adicionando 'spell-check=false' a todos os campos de entrada, embora isso possa causar problemas para os usuários", explicou otto-js. chegar. usar o texto digitado por meio do verificador ortográfico.
"Além disso, você pode adicioná-lo aos campos de formulário que contêm dados confidenciais. As empresas também podem remover a capacidade de 'mostrar senhas'. Isso não impedirá o hack de ortografia, mas impedirá que a senha do usuário seja enviada."
Curiosamente, notamos que o formulário de login do Twitter, que vem com a opção "mostrar senha", tem o atributo HTML "verificação ortográfica" para o campo de senha explicitamente definido como verdadeiro:
O campo de senha do Twitter tem 'exibir senha' e a verificação ortográfica definida como verdadeira (BleepingComputer)
Como uma proteção adicional, os usuários do Chrome e do Edge podem desabilitar a verificação ortográfica avançada (seguindo as etapas de manuseio mencionadas acima) ou remover o complemento Microsoft Editor do Edge até que a empresa atualize seu extenso verificador ortográfico para excluir campos confidenciais, como senhas.