Было обнаружено, что некоторые расширенные функции проверки орфографии, добавленные в веб-браузеры Google Chrome и Microsoft Edge, передают конфиденциальную информацию своим материнским компаниям.
Анализ, проведенный фирмой по безопасности JavaScript Отто-JS (откроется в новой вкладке) обнаружил, что большинство пользователей включают функции, которые, по их мнению, полезны для их производительности, только для того, чтобы обнаружить, что они передают свою личную информацию, такую как имена пользователей, электронные письма, пароли и многое другое, соответствующим компаниям-браузерам.
Оба браузера имеют базовые встроенные функции проверки орфографии, включенные по умолчанию, которые не передают данные обратно в Google или Microsoft. «Расширенная проверка орфографии» в Chrome и «Редактор Microsoft» в Edge являются исключительно дополнительными надстройками, которые пользователи должны явно авторизовать, и хотя ясно, что ваши данные будут отправлены обратно обеим компаниям для улучшения продуктов, не так очевидно, что это может включать вашу личную информацию (PII).
Утечки паролей Chrome и Edge
Работая в сочетании с большинством текстовых полей на веб-странице, оба инструмента имеют доступ «практически ко всему», говорит otto-js. Это означает, что любые данные, которые вы вводите онлайн, включая дату рождения, платежные реквизиты, контактную информацию и учетные данные для входа, могут быть отправлены обратно в Google и Microsoft.
Большинство веб-сайтов, которые блокируют пароли в Интернете, скрывают эту конфиденциальную информацию от инструментов проверки орфографии, но когда пользователь щелкает, чтобы раскрыть текст (возможно, чтобы проверить, правильно ли он его набрал), информация впоследствии раскрывается.
Пищит Компьютер (откроется в новой вкладке) сообщил, что обнаружил передачу имен пользователей в SSA.gov, Bank of America и Verizon с использованием Chrome, при этом пароли также открывались CNN и Facebook только при нажатии кнопки «показать пароль» или аналогичной кнопки.
Один из способов свести к минимуму уязвимость для веб-разработчиков — включить «проверка орфографии = false» во все поля ввода, которые могут потребовать конфиденциальную информацию, эффективно блокируя эти поля от инструментов проверки орфографии, хотя это, конечно, будет означать, что проверка орфографии в этих записях будет отключена.
Со стороны пользователя временное отключение расширенных средств проверки орфографии или их полное удаление из браузера кажется единственным способом защиты ваших данных, по крайней мере, до тех пор, пока какая-либо компания не пересмотрит свою политику конфиденциальности.
