Verificação ortográfica do Chrome e Microsoft Edge vazam senhas

Verificação ortográfica do Chrome e Microsoft Edge vazam senhas. Recurso Sepell-check vazam informações confidenciais do usuário, incluindo nome de usuário, email e senhas.

Chama-se “spell-jacking“: ambos os navegadores têm recursos de verificação ortográfica que enviam dados para a Microsoft e o Google quando os usuários preenchem formulários para sites ou serviços da Web.

Os recursos de verificação ortográfica presentes nos navegadores Google Chrome e Microsoft Edge estão vazando informações confidenciais do usuário – incluindo nome de usuário, email e senhas – para o Google e a Microsoft, respectivamente, quando as pessoas preenchem formulários em sites populares e aplicativos corporativos baseados em nuvem.

O problema – apelidado de “spell-jacking” por pesquisadores da empresa de segurança do lado do cliente Otto JavaScript Security (Otto-js) – pode expor informações de identificação pessoal (PII) de alguns dos aplicativos corporativos mais usados, incluindo Alibaba, Amazon Web Services , Google Cloud, LastPass e Office 365, de acordo com uma postagem de blog publicada em 16 de setembro.

O cofundador e CTO da Otto-js, Josh Summit, descobriu o vazamento – que ocorre especificamente quando o Enhanced Spellcheck do Chrome e o MS Editor do Edge estão ativados nos navegadores – enquanto realizava pesquisas sobre como os navegadores vazam dados em geral.

Summit descobriu que esses recursos de verificação ortográfica enviam dados para o Google e a Microsoft que são inseridos nos campos do formulário – como nome de usuário, e-mail, data de nascimento e número do Seguro Social – quando alguém preenche esses formulários em sites ou serviços da Web enquanto usa os navegadores , disseram os pesquisadores.

O Chrome e o Edge também vazarão senhas de usuários se o recurso “mostrar senha” for clicado quando alguém inserir uma senha em um site ou serviço, enviando esses dados para servidores de terceiros do Google e da Microsoft, disseram eles.

Onde está o risco de privacidade

Os pesquisadores da Otto-js, que postaram um vídeo no YouTube demonstrando como ocorre o vazamento, testaram mais de 50 sites que as pessoas usam diariamente ou semanalmente e que têm acesso a PII. Eles dividiram 30 deles em um grupo de controle que abrange seis categorias – banco on-line, ferramentas de escritório em nuvem, saúde, governo, mídia social e comércio eletrônico – e sites selecionados para cada categoria com base na classificação superior em cada setor.

Dos 30 sites do grupo de controle testados, 96,7% enviaram dados com PII de volta ao Google e à Microsoft, enquanto 73% enviaram senhas quando “mostrar senha” foi clicado. Além disso, os que não enviaram senhas não atenuaram o problema; eles simplesmente não tinham o recurso “mostrar senha”, disseram os pesquisadores.

Dos sites que os pesquisadores investigaram, o Google é o único que já havia corrigido o problema de e-mail e alguns serviços. Otto-js descobriu que o serviço da Web da empresa, o Google Cloud Secret Manager, permanece vulnerável, no entanto.

Enquanto isso, o Auth0, um serviço popular de logon único, não estava no grupo de controle que os pesquisadores investigaram, mas era o único site além do Google que havia mitigado corretamente o problema, disseram eles.

Os usuários de vários aplicativos corporativos baseados em nuvem também correm risco ao inserir formulários ao usar os aplicativos no Chrome e no Edge se os recursos de verificação ortográfica estiverem ativados. Desses serviços mencionados, as equipes de segurança da Amazon Web Services (AWS) e do LastPass responderam ao Otto-js e já corrigiram o problema, disseram os pesquisadores.

Para onde vão os dados?

Uma grande questão que surge é o que acontece com os dados quando são recebidos pelo Google e pela Microsoft, que os pesquisadores disseram não poder responder claramente.

Neste ponto, ninguém sabe se os dados estão sendo armazenados no lado receptor ou, se for o caso, quem está gerenciando sua segurança, observaram os pesquisadores. Também não está claro se os dados são gerenciados com o mesmo nível de segurança que dados confidenciais conhecidos, como senhas, ou se estão sendo usados ​​por equipes de produtos como metadados para refinar modelos, disseram eles.

De qualquer forma, os pesquisadores observaram que o problema mais uma vez levanta a preocupação de empresas de tecnologia como Google e Microsoft terem tanto acesso a informações confidenciais sobre clientes, funcionários e empresas, principalmente quando se trata de senhas.

Problema facilmente esquecido

Além disso, o vazamento de dados pode ser generalizado para usuários ou empresas por vários motivos, observaram os pesquisadores. Uma é que, como os recursos do navegador que expõem os dados são realmente úteis para os usuários, é provável que sejam ativados e exponham os dados sem o conhecimento do usuário.

O que é preocupante é como esses recursos são fáceis de habilitar e que a maioria dos usuários irá habilitar esses recursos sem realmente perceber o que está acontecendo em segundo plano“, diz Summit.

A exposição da senha também ocorre como uma “interação não intencional” entre a verificação ortográfica do navegador e um recurso do site, tornando-o algo que pode facilmente passar despercebido, observa Walter Hoehn, vice-presidente de engenharia da Otto-js

Os recursos aprimorados de verificação ortográfica no Chrome e no Edge oferecem uma atualização significativa em relação aos métodos padrão baseados em dicionário“, diz ele. “Da mesma forma, sites que oferecem a opção de exibir senhas em texto não criptografado são mais úteis, especialmente para pessoas com deficiências.”

Caminho de Mitigação

Mesmo que um site ou serviço não tenha corrigido o problema, as empresas podem mitigar o risco de compartilhar as PII de seus clientes inseridas em formulários adicionando “spellcheck=false” a todos os campos de entrada, embora isso possa criar problemas para os usuários.

Alternativamente, as empresas podem adicionar o comando apenas para campos de formulário com dados confidenciais para remover o risco, ou podem remover o recurso “mostrar senha” em seus formulários, disseram eles. Isso não impedirá o desvio maliciosos, mas impedirá o envio de senhas, disseram os pesquisadores.

As empresas também podem mitigar a exposição interna de contas de propriedade da empresa implementando precauções de segurança de endpoint que desabilitam recursos aprimorados de verificação ortográfica e limitando os funcionários a instalar extensões de navegador não aprovadas, de acordo com Otto-JS.

Os consumidores podem mitigar seu próprio risco de enviar seus dados para a Microsoft e o Google sem seu conhecimento acessando seus navegadores e desativando os respectivos culpados da verificação ortográfica, acrescentaram os pesquisadores.

Fonte: Dark Reading

Veja também:

Sobre mindsecblog 1772 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Seja o primeiro a comentar

Deixe sua opinião!