Проверка орфографии в Google Chrome может раскрывать ваши пароли
Если вам нравится быть тщательным и использовать расширенную проверку орфографии, у нас есть плохие новости — ваша личная информация может быть в опасности.
Использование расширенной проверки орфографии в Google Chrome и Microsoft Edge передает все, что вы вводите, для проверки. К сожалению, сюда входит информация, которая должна быть строго зашифрована, например, пароли.
Эта проблема, о которой впервые сообщила компания по безопасности JavaScript otto-js, была обнаружена случайно, когда компания тестировала обнаружение поведения своего скрипта. Джош Саммит, соучредитель и технический директор otto-js, объясняет, что почти все, что вы вводите в поля формы с включенной расширенной проверкой орфографии, позже передается в Google и Microsoft.
«Если вы нажмете «показать пароль», расширенная проверка орфографии даже отправит ваш пароль, по сути искажая ваши данные», — говорится в отчете otto-js. «Некоторые из крупнейших веб-сайтов в мире имеют возможность отправлять Google и Microsoft конфиденциальную PII пользователя [личную информацию], включая имя пользователя, адрес электронной почты и пароли, когда пользователи входят в систему или заполняют формы. Еще более серьезной проблемой для компаний является уязвимость корпоративных учетных данных компании для внутренних активов, таких как базы данных и облачная инфраструктура».
Многие люди используют «показать пароль», чтобы убедиться, что они не сделали опечатку, поэтому потенциально многие пароли могут быть подвержены риску. Bleeping Computer проверил это дальше и обнаружил, что ввод вашего имени пользователя и пароля на CNN и Facebook отправлял данные в Google, в то время как SSA.gov, Bank of America и Verizon отправляли только имена пользователей.
И Microsoft Edge, и Google Chrome поставляются со встроенными средствами проверки орфографии, которые довольно просты. Эти инструменты не требуют дополнительной проверки — все, что вы вводите, остается в вашем браузере. Однако, если вы используете расширенную проверку орфографии Chrome или средство проверки орфографии и грамматики редактора Microsoft, все, что вы вводите в браузере, затем отправляется в Google и Microsoft соответственно.
Что само по себе не является неожиданным. Когда вы включаете расширенную проверку орфографии в Chrome, браузер сообщает вам, что «текст, который вы вводите в браузере, отправляется в Google». Однако многие люди ожидают, что это исключает PII, которые часто отправляются в формах.
Серьезность этого зависит от веб-сайтов, которые вы посещаете. Некоторые данные формы могут включать номера социального страхования и номера социального страхования, ваше полное имя, адрес и платежную информацию. Учетные данные для входа также подпадают под эту категорию.
Понятно, что ваши входные данные отправляются за пределы браузера, чтобы использовать улучшенную проверку орфографии, но трудно не задаться вопросом, насколько это безопасно, когда личные данные также подвергаются такой же обработке.
Как оставаться в безопасности
Если вы не хотите, чтобы ваши личные данные передавались в Microsoft и Google, вам следует на время прекратить использование расширенной проверки орфографии. Это означает отключение этой функции в настройках Chrome. Просто скопируйте и вставьте это в адресную строку браузера: chrome://settings/?search=Enhanced+Spell+Check.
Для Microsoft Edge расширенная проверка орфографии предоставляется в виде надстройки браузера, поэтому просто щелкните правой кнопкой мыши значок этого расширения в браузере, а затем нажмите « Удалить из Microsoft Edge ».
Google позаботился о том, чтобы никакая идентификация пользователя не привязывалась к данным, которые он обрабатывает для проверки орфографии. Тем не менее, он будет работать над полным исключением паролей из этого. Microsoft заявила, что расследует проблему, но пока ничего не предпринимала с Bleeping Computer. В настоящее время у Microsoft есть еще одна проблема с Edge: хакеры используют его для запуска вредоносной кампании .