Google Chrome a Microsoft Edge nabízejí vylepšenou funkci kontroly pravopisu, která automaticky detekuje a opravuje chybně napsaná slova. I když se tato funkce může zdát užitečná a pohodlná, nedávný výzkum ukazuje, že může představovat vážné riziko pro soukromí.
Když je ručně povoleno, jak Enhanced Spellcheck, tak Microsoft Editor odesílají vaše data formulářů zpět jejich mateřským společnostem, čímž v podstatě data přerušují.
Co je Spell-Jacking?
Spell-jacking se vztahuje k odhalení Osobně identifikovatelných informací (PII). Vylepšená funkce Kontrola pravopisu v Chromu a Microsoft Editor.
Výzkum bezpečnostní firmy JavaScript otto-js zjistili, že všechna data zadaná do libovolného pole formuláře byla přenesena na servery třetích stran Google a Microsoft, když byla povolena vylepšená funkce kontroly pravopisu.
V závislosti na webových stránkách, které navštěvujete, mohou uniklé informace zahrnovat uživatelské jméno, heslo, adresu, datum narození, číslo sociálního pojištění (SSN), bankovní a platební údaje a další.
Zatímco obě funkce jsou ve výchozím nastavení vypnuty, jde o to, jak snadné je povolit a většina uživatelů je povoluje, aniž by si uvědomovali, co se děje na pozadí.
Kdo je v ohrožení?
otto-js identifikoval pět nejlepších online služeb, které jsou touto bezpečnostní chybou ohroženy. Patří mezi ně cloudová služba Alibaba, Office 365, AWS Secret Manager, Google Cloud Secret Manager a LastPass. Jak AWS, tak LastPass údajně problém zmírnily, zatímco Google jej řešil u některých svých služeb.
Ohroženi však nejsou pouze podnikoví uživatelé. otto-js testoval více než 50 webových stránek, které lidé často používají a které mají přístup k citlivým informacím. Rozdělil 30 z těchto webových stránek do šesti kategorií a vybral pět nejlepších webových stránek z každé kategorie, aby vytvořil měřítko frekvence a intenzity expozice. Mezi šest kategorií patří:
- Internetové bankovnictví
- Zdravotní péče
- Nástroje cloudové kanceláře
- Vláda
- Sociální média
- Elektronický obchod
V kontrolní skupině 30 testovaných webů otto-js zjistil, že přibližně 97 procent odeslalo citlivá uživatelská data zpět do Googlu a Microsoftu, když byly povoleny funkce kontroly pravopisu.
Navíc více než 73 procent webových stránek odeslalo společnosti hesla, když uživatelé klikli na „zobrazit heslo“.
To představuje významný bezpečnostní problém pro podnikové přihlašovací údaje a zabezpečení na straně klienta.
Jak zmírnit Spell-Jacking
Nejlepším způsobem, jak chránit své přihlašovací údaje, je použití a bezpečný správce hesel, dobrý antivirový programa šifrování vašeho provozu pomocí a VPN. Běžné postupy kybernetické bezpečnosti však v tomto případě nestačí.
Jedním ze způsobů, jak minimalizovat expozici společností, je zahrnout „spellcheck=false“ do vstupních polí, která vyžadují osobní údaje. To účinně zablokuje tato pole z nástrojů kontroly pravopisu, což znamená, že kontrola pravopisu bude pro tyto položky zakázána.
Dalším způsobem, jak mohou společnosti zmírnit dopad spell-jackingu, je deaktivace funkce „zobrazit heslo“ pro uživatele. To nezastaví pravopisu, ale zabrání to odesílání hesel uživatelů.
Společnosti mohou také implementovat řešení zabezpečení koncových bodů, která mohou deaktivovat funkce kontroly pravopisu a zabránit jejich zaměstnancům v instalaci napadených rozšíření prohlížeče.
Zde je návod, jak můžete pro jednotlivé uživatele zakázat vylepšenou kontrolu pravopisu v prohlížečích Chrome a Edge:
Google Chrome
Nejjednodušší způsob, jak ochránit svá osobní data před odesláním do Googlu, je prozatím odstranit vylepšenou funkci kontroly pravopisu. Funkci můžete deaktivovat v nastavení Chromu provedením těchto kroků:
- Klikněte na tři tečky v pravém horním rohu prohlížeče a vyberte Nastavení.
- Přejděte dolů a klikněte Pokročilý pro zobrazení dalších nastavení.
- Vybrat Jazyky z možností, které se zobrazí na levé straně obrazovky.
- Pod Kontrola pravopisu sekce, zrušte zaškrtnutí Vylepšená kontrola pravopisu volba.
Na stránku se dostanete také jednoduše vložením následujícího odkazu do adresního řádku prohlížeče a stisknutím klávesy Enter:
chrom://settings/?search=Enhanced+Spell+CheckMicrosoft Edge
Pro uživatele Microsoft Edge přichází kontrola pravopisu jako doplněk prohlížeče. Na odstranit rozšíření z vašeho prohlížeče, klikněte pravým tlačítkem na ikonu rozšíření a zvolte „Odebrat z Microsoft Edge“.
Pokud ikonu na domovské stránce prohlížeče nemůžete najít, můžete přejít do knihovny rozšíření a odstranit ji odtud. Jednoduše klikněte na "Rozšíření" napravo od adresního řádku prohlížeče a vyhledejte rozšíření. Vyberte "Další akce" vedle rozšíření, které chcete odebrat, a klikněte na "Odebrat z Microsoft Edge".
A tak své osobní údaje prozatím uchováváte v bezpečí.
