marzo 28, 2024

Telecentro di Bologna e dell'Emilia-Romagna

Manténgase al tanto de las últimas novedades de España sobre el terreno

Google, Microsoft puede obtener sus contraseñas a través del corrector ortográfico de un navegador web

Google, Microsoft puede obtener sus contraseñas a través del corrector ortográfico de un navegador web

Las funciones extendidas de revisión ortográfica en los navegadores web Google Chrome y Microsoft Edge transfieren datos de formularios, incluida información de identificación personal (PII) y, en algunos casos, contraseñas, a Google y Microsoft, respectivamente.

Si bien esta puede ser una característica bien conocida e intencionada de estos navegadores web, genera inquietudes sobre lo que sucede con los datos después de la transmisión y qué tan segura es esta práctica, particularmente cuando se trata de campos de contraseña.

Chrome y Edge se envían con correctores ortográficos básicos habilitados. Sin embargo, características como la corrección ortográfica mejorada en Chrome o Microsoft Editor cuando el usuario las habilita manualmente presentan estos riesgos potenciales para la privacidad.

Spell-jacking: este es el corrector ortográfico que envía información PII a Big Tech

Cuando se utilizan los principales navegadores web, como Chrome y Edge, los datos del formulario se envían a Google y Microsoft, respectivamente, si las funciones mejoradas de revisión ortográfica están habilitadas.

Según el sitio web que esté visitando, los datos del formulario en sí pueden incluir información de identificación personal, incluidos, entre otros, Números de Seguro Social (SSN) / Números de Seguro Social (SIN), nombre, dirección, correo electrónico, fecha de nacimiento (DOB) y información de contacto, información bancaria y de pago, etc.

Josh Summit, cofundador y director de tecnología de la empresa de seguridad de JavaScript OTTO-JS, descubrió este problema mientras probaba la detección del comportamiento del script de su empresa.

En los casos en los que se habilitó el corrector ortográfico mejorado de Chrome o Microsoft Editor de Edge (revisor ortográfico), «cualquier cosa» ingresada en los campos de formulario en estos navegadores se envió a Google y Microsoft.

«Además, si hace clic en Mostrar contraseña, el corrector ortográfico mejorado envía su contraseña, que es básicamente la ortografía de sus datos», explica otto-js en Entrada en el blog.

READ  Chris Evans dice que su iPhone 12 Pro es demasiado pesado, le pregunta a Apple sobre el botón de inicio

«Algunos de los sitios web más grandes del mundo están sujetos a enviar información confidencial de PII del usuario a Google y Microsoft, incluido el nombre de usuario, el correo electrónico y las contraseñas, cuando los usuarios inician sesión o completan formularios. Es aún más importante que las empresas divulguen esto a sus credenciales Organización empresarial de activos internos como bases de datos e infraestructura en la nube”.

Campos del formulario de inicio de sesión de Alibaba
Campos del formulario de inicio de sesión de Alibaba, con ‘Mostrar contraseña’ habilitado (Oto-JS)
El corrector ortográfico mejorado transmite la contraseña a Microsoft y Google
El corrector ortográfico mejorado de Chrome transmite la contraseña a Google (Oto-JS)

Los usuarios a menudo confían en la opción «Mostrar contraseña» en sitios donde no se permite copiar y pegar contraseñas, por ejemplo, o cuando sospechan que las han escrito mal.

Para ilustrar, otto-js ha compartido un ejemplo de un usuario que ingresa una credencial en la plataforma Cloud de Alibaba en el navegador web Chrome, aunque se puede usar cualquier sitio web para esta demostración.

Con el corrector ortográfico mejorado habilitado y suponiendo que el usuario haga clic en Mostrar contraseña, los campos del formulario, incluidos el nombre de usuario y la contraseña, se envían a Google en googleapis.com.

La compañía también ha compartido un video de demostración:

BleepingComputer también notó que las credenciales se transfirieron a Google en nuestras pruebas usando Chrome para visitar sitios importantes como:

  • CNN: nombre de usuario y contraseña al usar Mostrar contraseña
  • Facebook.com: tanto el nombre de usuario como la contraseña cuando se usa Mostrar contraseña
  • SSA.gov (Inicio de sesión del Seguro Social): solo campo de nombre de usuario
  • Bank of America: solo campo de nombre de usuario
  • Verizon: solo campo de nombre de usuario

Solución HTML simple: «Ortografía = Falso»

Aunque los campos de formulario se transmiten de forma segura a través de HTTPS, es posible que no sea inmediatamente obvio lo que sucede con los datos del usuario una vez que llegan a un tercero, en este ejemplo, el servidor de Google.

READ  ScummVM ha 20 anni e ora supporta Grim Fandango e Myst 3: Exile

«Los Función de ortografía mejorada Requiere que el usuario esté habilitado «, confirmó un portavoz de Google a BleepingComputer. Tenga en cuenta que esto entra en conflicto con el corrector ortográfico básico que está habilitado en Chrome de forma predeterminada y no transfiere datos a Google.

Para verificar si la revisión ortográfica mejorada está habilitada en Chrome, copie y pegue el siguiente enlace en la barra de direcciones. A continuación, puede optar por activarlo o desactivarlo:

cromo://configuración/? búsqueda = Mejorada + Ortografía + Verificación

Configuración de ortografía mejorada de Chrome
La configuración del corrector ortográfico mejorado debe estar habilitada en Chrome (computadora durmiendo)

Como se puede ver en la captura de pantalla, la descripción de la función establece explícitamente que con el corrector ortográfico mejorado habilitado, «el texto que escribe en el navegador se envía a Google».

«El texto que escribe un usuario puede ser información personal confidencial que Google no adjunta a ninguna identidad de usuario y solo lo procesa en el servidor temporalmente. Para garantizar aún más la privacidad del usuario, excluiremos de manera proactiva las contraseñas del corrector ortográfico», continuó Google en su declaración conjunta. declaración con nosotros.

«Valoramos la colaboración con la comunidad de seguridad y siempre estamos buscando formas de proteger mejor la privacidad del usuario y la información confidencial».

Para Edge, el corrector ortográfico y gramatical de Microsoft Editor es un archivo Complemento del navegador que debe instalarse explícitamente para que se produzca este comportamiento.

BleepingComputer se puso en contacto con Microsoft antes de la publicación. Nos dijeron que el asunto está bajo consideración, pero aún no hemos recibido una respuesta.

otto-js llamó al vector de ataque «Spell-jacking» y expresó su preocupación a los usuarios de servicios en la nube como Office 365, Alibaba Cloud, Google Cloud – Secret Manager, Amazon AWS – Secrets Manager y LastPass.

READ  Apple anuncia soporte RCS para iMessage – Ars Technica

En respuesta al informe de otto-js, tanto AWS como LastPass mitigaron el problema. En el caso de LastPass, se llegó al remedio agregando un atributo HTML simple ortografía = «incorrecto» Al campo de contraseña:

lastpass .campo de contraseña
El campo ‘contraseña’ de LastPass ahora incluye ortografía = atributo HTML incorrecto (computadora durmiendo)

El atributo HTML «ortografía» cuando se deja en los campos de entrada de texto del formulario es Los navegadores web generalmente asumen que es cierto Por defecto. Campo de entrada con el corrector ortográfico establecido explícitamente en Falso No será procesada por el corrector ortográfico del navegador web.

«Las empresas pueden mitigar el riesgo de compartir información de identificación personal para sus clientes agregando ‘ortografía = falso’ a todos los campos de entrada, aunque esto puede crear problemas para los usuarios», explica otto-js, refiriéndose al hecho de que no Los usuarios ahora pueden ejecutar el texto ingresado a través del corrector ortográfico.

Alternativamente, solo puede agregarlo a los campos de formulario que contienen datos confidenciales. Las empresas también pueden eliminar la capacidad de ‘mostrar contraseña’.

Irónicamente, notamos el formulario de inicio de sesión de Twitter, que viene con una opción de «mostrar contraseña», donde el atributo HTML de «ortografía» del campo de contraseña se establece en verdadero:

Campo de ortografía de Twitter
El campo de contraseña de Twitter tiene «Mostrar contraseña» y la ortografía está establecida en «Verdadero» (computadora durmiendo)

Como precaución adicional, los usuarios de Chrome y Edge pueden desactivar el corrector ortográfico mejorado (siguiendo los pasos anteriores) o Eliminar el complemento Microsoft Editor de Edge Las dos compañías incluso revisan los correctores ortográficos extendidos para descartar el procesamiento de campos confidenciales, como las contraseñas.