Google, Microsoft può ottenere le tue password tramite il controllo ortografico del browser web
Pubblicato da Angelo Domeneghini in Privacy - Sicurezza - BUG · 19 Settembre 2022
Tags: #privacy, #sicurezza, #google, #microsoft, #chrome, #edge
Tags: #privacy, #sicurezza, #google, #microsoft, #chrome, #edge
Google, Microsoft può ottenere le tue password tramite il controllo ortografico del browser web
Le funzionalità di controllo ortografico esteso nei browser Web Google Chrome e Microsoft Edge trasmettono i dati dei moduli, comprese le informazioni di identificazione personale (PII) e, in alcuni casi, le password, rispettivamente a Google e Microsoft.
Sebbene questa possa essere una caratteristica nota e prevista di questi browser Web, solleva preoccupazioni su ciò che accade ai dati dopo la trasmissione e su quanto potrebbe essere sicura la pratica, in particolare quando si tratta di campi password.
Sia Chrome che Edge vengono forniti con correttori ortografici di base abilitati. Tuttavia, funzionalità come il controllo ortografico avanzato di Chrome o l'editor Microsoft, se abilitate manualmente dall'utente, presentano questo potenziale rischio per la privacy.
Spell-jacking: questo è il tuo controllo ortografico che invia PII a Big Tech
Quando si utilizzano i principali browser Web come Chrome ed Edge, i dati del modulo vengono trasmessi rispettivamente a Google e Microsoft, se le funzionalità di controllo ortografico avanzate sono abilitate.
A seconda del sito Web visitato, i dati del modulo stesso possono includere PII, inclusi, a titolo esemplificativo ma non esaustivo, numeri di previdenza sociale (SSN)/numeri di previdenza sociale (SIN), nome, indirizzo, e-mail, data di nascita (DOB), informazioni di contatto, informazioni bancarie e di pagamento e così via.
Josh Summitt, co-fondatore e CTO della società di sicurezza JavaScript otto-js ha scoperto questo problema durante i test di rilevamento dei comportamenti degli script della sua azienda.
Nei casi in cui il controllo ortografico avanzato di Chrome o l'editor Microsoft di Edge (controllo ortografico) erano abilitati, "praticamente qualsiasi cosa" inserita nei campi del modulo di questi browser veniva trasmessa a Google e Microsoft.
"Inoltre, se fai clic su 'Mostra password', il controllo ortografico avanzato invia anche la tua password, essenzialmente il codice ortografico dei tuoi dati", spiega otto-js in un post sul blog.
"Alcuni dei più grandi siti Web del mondo sono esposti all'invio di informazioni personali di utenti sensibili a Google e Microsoft, inclusi nome utente, e-mail e password, quando gli utenti accedono o compilano moduli. Una preoccupazione ancora più significativa per le aziende è l'esposizione che ciò presenta alle credenziali aziendali dell'azienda, alle risorse interne come i database e l'infrastruttura cloud".
Campi del modulo di accesso Alibaba
Campi del modulo di accesso Alibaba, con 'mostra password' abilitato (otto-js)
Il correttore ortografico avanzato trasmette la password a Microsoft e Google
Il correttore ortografico avanzato di Chrome trasmette la password a Google (otto-js)
Gli utenti possono spesso fare affidamento sull'opzione "mostra password" su siti in cui non è consentito copiare e incollare password, ad esempio, o quando sospettano di aver digitato in modo errato.
Per dimostrare, otto-js ha condiviso l'esempio di un utente che inserisce le credenziali sulla piattaforma Alibaba Cloud nel browser Web Chrome, sebbene per questa dimostrazione possa essere utilizzato qualsiasi sito Web.
Con il controllo ortografico avanzato abilitato e presupponendo che l'utente abbia toccato la funzione "mostra password", i campi del modulo inclusi nome utente e password vengono trasmessi a Google su googleapis.com.
Un video dimostrativo è stato condiviso anche dall'azienda:
BleepingComputer ha anche osservato che le credenziali venivano trasmesse a Google nei nostri test utilizzando Chrome per visitare i principali siti come:
CNN: nome utente e password quando si utilizza "mostra password"
Facebook.com: nome utente e password quando si utilizza "mostra password"
SSA.gov (Social Security Login): solo campo nome utente
Bank of America: solo campo nome utente
Verizon: solo campo nome utente
Una semplice soluzione HTML: 'spellcheck=false'
Sebbene la trasmissione dei campi del modulo avvenga in modo sicuro tramite HTTPS, potrebbe non essere immediatamente chiaro cosa succede ai dati dell'utente una volta che raggiungono la terza parte, in questo esempio il server di Google.
"La funzione di controllo ortografico avanzato richiede un consenso da parte dell'utente", ha confermato un portavoce di Google a BleepingComputer. Nota che questo è in contrasto con il correttore ortografico di base che è abilitato in Chrome per impostazione predefinita e non trasmette dati a Google.
Per verificare se il controllo ortografico avanzato è abilitato nel tuo browser Chrome, copia e incolla il seguente link nella barra degli indirizzi. Puoi quindi scegliere di attivarlo o disattivarlo:
chrome://settings/?search=Enhanced+Ortografia+Controllo
impostazione del controllo ortografico avanzato di Chrome
È necessario attivare l'impostazione del controllo ortografico avanzato in Chrome (BleepingComputer)
Come evidente dallo screenshot, la descrizione della funzione afferma esplicitamente che con il controllo ortografico avanzato abilitato, "il testo digitato nel browser viene inviato a Google".
"Il testo digitato dall'utente potrebbe essere un'informazione personale sensibile e Google non lo allega ad alcuna identità utente e lo elabora solo temporaneamente sul server. Per garantire ulteriormente la privacy dell'utente, lavoreremo per escludere le password in modo proattivo dal controllo ortografico", ha continuato Google nella sua dichiarazione condivisa con noi.
"Apprezziamo la collaborazione con la comunità della sicurezza e siamo sempre alla ricerca di modi per proteggere meglio la privacy degli utenti e le informazioni sensibili".
Per quanto riguarda Edge, il correttore ortografico e grammaticale di Microsoft Editor è un componente aggiuntivo del browser che deve essere installato esplicitamente affinché si verifichi questo comportamento
BleepingComputer ha contattato Microsoft con largo anticipo prima della pubblicazione. Ci è stato detto che la questione è stata esaminata, ma dobbiamo ancora rispondere.
otto-js ha soprannominato il vettore di attacco "Spell-jacking" e ha espresso preoccupazione per gli utenti di servizi cloud come Office 365, Alibaba Cloud, Google Cloud - Secret Manager, Amazon AWS - Secrets Manager e LastPass.
Reagendo al rapporto di otto-js, sia AWS che LastPass hanno mitigato il problema. Nel caso di LastPass, il rimedio è stato raggiunto aggiungendo un semplice attributo HTML spellcheck="false" nel campo della password:
campo password lastpass
L'attributo HTML 'spellcheck' quando viene omesso dai campi di immissione del testo del modulo è generalmente presupposto dai browser Web come true per impostazione predefinita. Un campo di input con "controllo ortografico" impostato esplicitamente su false non verrà elaborato tramite il correttore ortografico di un browser web.
"Le aziende possono mitigare il rischio di condividere le PII dei propri clienti, aggiungendo 'spellcheck=false' a tutti i campi di input, anche se ciò potrebbe creare problemi agli utenti", spiega otto-js riferendosi al fatto che ora gli utenti non saranno più in grado di per eseguire il testo inserito tramite il correttore ortografico.
"In alternativa, potresti aggiungerlo solo ai campi del modulo con dati sensibili. Le aziende possono anche rimuovere la possibilità di 'mostrare la password'. Ciò non impedirà l'incantesimo, ma impedirà l'invio delle password degli utenti".
Ironia della sorte, abbiamo osservato che il modulo di accesso di Twitter, che viene fornito con l'opzione "mostra password", ha l'attributo HTML "controllo ortografico" del campo password impostato esplicitamente su true:
campo di controllo ortografico di twitter
Come ulteriore protezione, gli utenti di Chrome ed Edge possono disattivare il controllo ortografico avanzato (seguendo i passaggi sopra indicati) o rimuovere il componente aggiuntivo Microsoft Editor da Edge fino a quando entrambe le società non avranno rivisto i correttori ortografici estesi per escludere l'elaborazione di campi sensibili, come le password.