Verificação ortográfica do Chrome e Microsoft Edge vazam senhas

21/09/2022 mindsecblog Notícias 0

Verificação ortográfica do Chrome e Microsoft Edge vazam senhas. Recurso Sepell-check vazam informações confidenciais do usuário, incluindo nome de usuário, email e senhas.

Chama-se “spell-jacking“: ambos os navegadores têm recursos de verificação ortográfica que enviam dados para a Microsoft e o Google quando os usuários preenchem formulários para sites ou serviços da Web.

Os recursos de verificação ortográfica presentes nos navegadores Google Chrome e Microsoft Edge estão vazando informações confidenciais do usuário – incluindo nome de usuário, email e senhas – para o Google e a Microsoft, respectivamente, quando as pessoas preenchem formulários em sites populares e aplicativos corporativos baseados em nuvem.

O problema – apelidado de “spell-jacking” por pesquisadores da empresa de segurança do lado do cliente Otto JavaScript Security (Otto-js) – pode expor informações de identificação pessoal (PII) de alguns dos aplicativos corporativos mais usados, incluindo Alibaba, Amazon Web Services , Google Cloud, LastPass e Office 365, de acordo com uma postagem de blog publicada em 16 de setembro.

O cofundador e CTO da Otto-js, Josh Summit, descobriu o vazamento – que ocorre especificamente quando o Enhanced Spellcheck do Chrome e o MS Editor do Edge estão ativados nos navegadores – enquanto realizava pesquisas sobre como os navegadores vazam dados em geral.

Summit descobriu que esses recursos de verificação ortográfica enviam dados para o Google e a Microsoft que são inseridos nos campos do formulário – como nome de usuário, e-mail, data de nascimento e número do Seguro Social – quando alguém preenche esses formulários em sites ou serviços da Web enquanto usa os navegadores , disseram os pesquisadores.

O Chrome e o Edge também vazarão senhas de usuários se o recurso “mostrar senha” for clicado quando alguém inserir uma senha em um site ou serviço, enviando esses dados para servidores de terceiros do Google e da Microsoft, disseram eles.

Onde está o risco de privacidade

Os pesquisadores da Otto-js, que postaram um vídeo no YouTube demonstrando como ocorre o vazamento, testaram mais de 50 sites que as pessoas usam diariamente ou semanalmente e que têm acesso a PII. Eles dividiram 30 deles em um grupo de controle que abrange seis categorias – banco on-line, ferramentas de escritório em nuvem, saúde, governo, mídia social e comércio eletrônico – e sites selecionados para cada categoria com base na classificação superior em cada setor.

Dos 30 sites do grupo de controle testados, 96,7% enviaram dados com PII de volta ao Google e à Microsoft, enquanto 73% enviaram senhas quando “mostrar senha” foi clicado. Além disso, os que não enviaram senhas não atenuaram o problema; eles simplesmente não tinham o recurso “mostrar senha”, disseram os pesquisadores.

Dos sites que os pesquisadores investigaram, o Google é o único que já havia corrigido o problema de e-mail e alguns serviços. Otto-js descobriu que o serviço da Web da empresa, o Google Cloud Secret Manager, permanece vulnerável, no entanto.

Enquanto isso, o Auth0, um serviço popular de logon único, não estava no grupo de controle que os pesquisadores investigaram, mas era o único site além do Google que havia mitigado corretamente o problema, disseram eles.

Os usuários de vários aplicativos corporativos baseados em nuvem também correm risco ao inserir formulários ao usar os aplicativos no Chrome e no Edge se os recursos de verificação ortográfica estiverem ativados. Desses serviços mencionados, as equipes de segurança da Amazon Web Services (AWS) e do LastPass responderam ao Otto-js e já corrigiram o problema, disseram os pesquisadores.

Para onde vão os dados?

Uma grande questão que surge é o que acontece com os dados quando são recebidos pelo Google e pela Microsoft, que os pesquisadores disseram não poder responder claramente.

Neste ponto, ninguém sabe se os dados estão sendo armazenados no lado receptor ou, se for o caso, quem está gerenciando sua segurança, observaram os pesquisadores. Também não está claro se os dados são gerenciados com o mesmo nível de segurança que dados confidenciais conhecidos, como senhas, ou se estão sendo usados por equipes de produtos como metadados para refinar modelos, disseram eles.

De qualquer forma, os pesquisadores observaram que o problema mais uma vez levanta a preocupação de empresas de tecnologia como Google e Microsoft terem tanto acesso a informações confidenciais sobre clientes, funcionários e empresas, principalmente quando se trata de senhas.

Problema facilmente esquecido

Além disso, o vazamento de dados pode ser generalizado para usuários ou empresas por vários motivos, observaram os pesquisadores. Uma é que, como os recursos do navegador que expõem os dados são realmente úteis para os usuários, é provável que sejam ativados e exponham os dados sem o conhecimento do usuário.

“O que é preocupante é como esses recursos são fáceis de habilitar e que a maioria dos usuários irá habilitar esses recursos sem realmente perceber o que está acontecendo em segundo plano“, diz Summit.

A exposição da senha também ocorre como uma “interação não intencional” entre a verificação ortográfica do navegador e um recurso do site, tornando-o algo que pode facilmente passar despercebido, observa Walter Hoehn, vice-presidente de engenharia da Otto-js

“Os recursos aprimorados de verificação ortográfica no Chrome e no Edge oferecem uma atualização significativa em relação aos métodos padrão baseados em dicionário“, diz ele. “Da mesma forma, sites que oferecem a opção de exibir senhas em texto não criptografado são mais úteis, especialmente para pessoas com deficiências.”

Caminho de Mitigação

Mesmo que um site ou serviço não tenha corrigido o problema, as empresas podem mitigar o risco de compartilhar as PII de seus clientes inseridas em formulários adicionando “spellcheck=false” a todos os campos de entrada, embora isso possa criar problemas para os usuários.

Alternativamente, as empresas podem adicionar o comando apenas para campos de formulário com dados confidenciais para remover o risco, ou podem remover o recurso “mostrar senha” em seus formulários, disseram eles. Isso não impedirá o desvio maliciosos, mas impedirá o envio de senhas, disseram os pesquisadores.

As empresas também podem mitigar a exposição interna de contas de propriedade da empresa implementando precauções de segurança de endpoint que desabilitam recursos aprimorados de verificação ortográfica e limitando os funcionários a instalar extensões de navegador não aprovadas, de acordo com Otto-JS.

Os consumidores podem mitigar seu próprio risco de enviar seus dados para a Microsoft e o Google sem seu conhecimento acessando seus navegadores e desativando os respectivos culpados da verificação ortográfica, acrescentaram os pesquisadores.