Przeglądarka może niechcący ujawniać nasze hasła? Winne sprawdzanie pisowni
Rozbudowane funkcje sprawdzania pisowni w Google Chrome i Microsoft Edge przesyłają na swoje serwery wszystko, co zostało wpisane w polu tekstowym, w tym - niestety - hasła.
Josh Summitt, współzałożyciel i CTO firmy otto-js zajmującej się bezpieczeństwem JavaScript, odkrył, że rozszerzone sprawdzanie pisowni w Google Chrome i Microsoft Edge przekazuje wrażliwe informacje do firm.
Obie przeglądarki zawierają podstawowe funkcje sprawdzania pisowni, które są domyślnie włączone. I na szczęście nie trzeba pędzić, aby je wyłączyć, ponieważ to nie one przekazują dane do Google’a czy Microsoftu. Summitt odkrył jednak, że włączona funkcja "Ulepszone sprawdzanie pisowni" w Chrome i rozszerzenie "Redaktor Microsoft" w Edge'u, przesyłają wszystko, co wpiszemy w polu tekstowym, w tym nazwy użytkowników, adresy e-mail, numery ubezpieczenia itd. Co gorsza, jeśli klikniemy "pokaż hasło" w celu skontrolowania, czy wpisaliśmy właściwe, rozszerzone sprawdzanie pisowni przekaże firmie również zawartość tego pola.
Według badań przeprowadzonych przez Bleeping Computer, ulepszone sprawdzanie pisowni przesyłało do Google’a dane uwierzytelniające z kilku stron internetowych, w tym z Facebooka, SSA.gov czy Bank of America.
Kto to naprawi?
Brian Chappell, Chief Security Strategist w BeyondTrust, mówi, że funkcja ukazania hasła w wielu witrynach jest lokalnie implementowana przez nie same. Rozwiązanie problemu będzie zatem leżało po stronie każdej witryny, która oferuje tę opcję.
Chappell jednocześnie zapewnia, że obawy dotyczące obu przeglądarek dotyczą rozszerzonych usług, a nie domyślnego sprawdzania pisowni, które jest automatycznie włączone. Mężczyzna uważa też, że Google i Microsoft mogłyby poprawić swoje działania w zakresie ostrzegania użytkowników, że informacje umożliwiające identyfikację mogą być przesyłane na ich serwery przy próbie włączenia rozszerzeń sprawdzania pisowni, jednocześnie dzieląc się szczegółami dotyczącymi sposobu przetwarzania i zabezpieczania tych danych.