Spell-jacking: Chrome Y Edge Transmiten Contraseñas A Través De Su Función De Corrector Ortográfico
Las funciones extendidas de revisión ortográfica en los navegadores web Google Chrome y Microsoft Edge transmiten datos de formulario, incluida información de identificación personal (PII) y, en algunos casos, contraseñas, a Google y Microsoft respectivamente.
Si bien esta puede ser una función conocida e intencionada de estos navegadores web, genera inquietudes sobre lo que sucede con los datos después de la transmisión y qué tan segura podría ser la práctica, particularmente cuando se trata de campos de contraseña.
Tanto Chrome como Edge se envían con correctores ortográficos básicos habilitados. Sin embargo, características como el corrector ortográfico mejorado de Chrome o el editor de Microsoft, cuando el usuario las habilita manualmente, presentan este riesgo potencial para la privacidad.
Spell-jacking: Ese es su corrector ortográfico enviando PII a Big Tech
En caso de que se activen las funciones mejoradas de revisión ortográfica, los datos de su formulario se transmiten a Google y Microsoft, respectivamente. Según el sitio web que visite, los datos del formulario pueden incluir PII, incluidos, entre otros, Números de Seguro Social (SSN)/Números de Seguro Social (SIN), nombre, dirección, correo electrónico, fecha de nacimiento (DOB), información de contacto, información bancaria y de pago, y así sucesivamente.
Josh Summitt, cofundador y director de tecnología de la empresa de seguridad de JavaScript otto-js, descubrió este problema mientras probaba la detección de comportamientos de secuencias de comandos de su empresa.
En los casos en los que Chrome Enhanced Spellcheck o Edge's Microsoft Editor (spellchecker) esten habilitados, "básicamente cualquier cosa ingresada en los campos de formulario de estos navegadores se transmitía a Google y Microsoft. Además, si hace clic en 'Mostrar contraseña', el corrector ortográfico mejorado incluso envía su contraseña", explica en una publicación.
Para demostrarlo, otto-js compartió el ejemplo de un usuario que ingresa sus credenciales en la plataforma Cloud de Alibaba en el navegador web Chrome, aunque se puede usar cualquier sitio web para esta demostración.
Con el corrector ortográfico mejorado habilitado, y suponiendo que el usuario haya tocado la función "mostrar contraseña", los campos del formulario, incluidos el nombre de usuario y la contraseña, se transmiten a Google en googleapis.com.
La compañía también ha compartido un video de demostración:
BleepingComputer también observó que las credenciales se transmitían a Google al visitar sitios importantes como:
- CNN: tanto el nombre de usuario como la contraseña cuando se usa 'mostrar contraseña'
- Facebook.com: nombre de usuario y contraseña al usar 'mostrar contraseña'
- SSA.gov (Inicio de sesión del Seguro Social): solo campo de nombre de usuario
- Bank of America: solo campo de nombre de usuario
- Verizon: solo campo de nombre de usuario
Solución HTML simple: 'spellcheck=false'
Aunque la transmisión de los campos del formulario se realiza de forma segura a través de HTTPS, es posible que no esté muy claro qué sucede con los datos del usuario una vez que llegan al tercero, en este ejemplo, el servidor de Google.
"La función de revisión ortográfica mejorada requiere una aceptación por parte del usuario", confirmó un portavoz de Google a BleepingComputer. Tenga en cuenta que esto contrasta con el corrector ortográfico básico que está habilitado en Chrome de forma predeterminada y no transmite datos a Google.
Para revisar si el corrector ortográfico mejorado está habilitado en su navegador Chrome, copie y pegue el siguiente enlace en su barra de direcciones. A continuación, puede optar por activarlo o desactivarlo:
chrome://settings/?search=Enhanced+Spell+Check
"El texto escrito por el usuario puede ser información personal confidencial y Google no lo adjunta a ninguna identidad de usuario y solo lo procesa en el servidor temporalmente. Para garantizar aún más la privacidad del usuario, trabajaremos para excluir las contraseñas de manera proactiva del corrector ortográfico" continuó Google en su declaración.
En cuanto a Edge, Microsoft Editor Spelling & Grammar Checker es un complemento del navegador que debe instalarse explícitamente para que se produzca este comportamiento.
En respuesta al informe de otto-js, tanto AWS como LastPass mitigaron el problema. En el caso de LastPass, se llegó al remedio agregando un simple atributo HTML Spellcheck="false" al campo de la contraseña. Un campo de entrada con 'corrector ortográfico' establecido explícitamente en falso no se procesará a través del corrector ortográfico de un navegador web.
Irónicamente, observamos que el formulario de inicio de sesión de Twitter, tiene el atributo HTML "spellcheck" del campo de contraseña establecido explícitamente en True:
Como protección adicional, los usuarios de Chrome y Edge pueden desactivar el corrector ortográfico mejorado (siguiendo los pasos mencionados anteriormente) o eliminar el complemento Microsoft Editor de Edge hasta que ambas compañías hayan revisado los correctores ortográficos extendidos para excluir el procesamiento de campos confidenciales, como contraseñas.
Fuente: BC
Via: blog.segu-info.com.ar