Google, Microsoft peuvent obtenir vos mots de passe by the use of le correcteur orthographique du navigateur Internet

Les fonctionnalités étendues de vérification orthographique des navigateurs Web Google Chrome et Microsoft Edge transmettent des données de formulaire, y compris des informations personnel identifiables (PII) et, dans certains cas, des mots de passe, à Google et Microsoft, respectivement.

Bien qu’il puisse s’agir d’une fonctionnalité connue et prevue de ces navigateurs Web, cela soulève des inquiétudes quant à ce qu’il advient des données après la transmission et à la sécurité de la pratique concern, en les champs de mot de passe.

Chrome et Edge sont livrés avec les correcteurs orthographiques de base activés. Cependant, des fonctionnalités telles que le correcteur orthographique amélioré de Chrome ou l’éditeur de Microsoft, lorsqu’elles sont activées manuellement par l’utilisateur, présentent ce risque potentiel pour la confidentialité.

Spell-jacking : c’est votre correcteur orthographique qui envoie des PII à Big Tech

Lorsque vous utilisez les principaux navigateurs Web tels que Chrome et Edge, vos données de formulaire sont transmises à Google et Microsoft, respectivement, au cas où les fonctionnalités de vérification orthographique améliorées seraient activitiesées.

Selon le site Web que vous visitez, les données du formulaire peuvent inclure des PII, y compris, mais sans s’y limiter, les numéros de sécurité sociale (SSN)/numéros de sécurité sociale (SIN), le nom, l’adresse , l’e-mail, la date de naissance (DOB), les coordonnées, les coordonnées bancaires et informations de paiement, etc.

Josh Summitt, co-fondateur et CTO de la société de sécurité JavaScript otto-js, a découvert ce problème en testant la détection de comportement de script de son entreprise.

Dans les cas où Chrome Enhanced Spellcheck ou Edge’s Microsoft Editor (correcteur orthographique) étaient activés, “essentiellement tout” saisi dans les champs de formulaire de ces navigateurs était transmis à Google et Microsoft.

« De plus, si vous cliquez sur « Afficher le mot de passe », le correcteur orthographique amélioré envoie même votre mot de passe, essentiellement Spell Jacking vos données », explique otto-js dans un article de blog.

« Certains des plus grands sites Web au monde sont exposés à l’envoi par Google and Microsoft d’informations personnelles confidentielles aux utilisateurs, notamment des noms d’utilisateur, des e-mails et des mots de passe, lorsque les seutilisateurs remplissent des formulaires. Une preoccupation encore plus importante pour les entreprises est l’exposition que cela présente aux activités de l’entreprise. informations d’identification aux actifs internes tels que les bases de données et l’infrastructure cloud. »

Champs du formulaire de connexion Alibaba, avec « afficher le mot de passe » activé (otto-js)
Le correcteur orthographique amélioré transmet le mot de passe à Microsoft et Google
Le correcteur orthographique amélioré de Chrome transmet le mot de passe à Google (otto-js)

Les utilisateurs peuvent souvent compter sur l’option « Afficher le mot de passe » sur les sites ou copier et coller des mots de passe n’est pas autorisé, par exemple, ou lorsqu’ils soupçonnent qu’ils orthographiontémal.

Pour le démontrer, otto-js a partage un exemple d’utilisateur saisissant identifiants Alibaba Cloud Platform dans le navigateur Web Chrome, bien que n’importe quel site Web puisse être utilisé pour cette démonstration.

Lorsque le correcteur orthographique amélioré est activé, et en supposant que l’utilisateur an appuyé sur la fonction « Afficher le mot de passe », les champs du formulaire, y compris le nom d’utilisateur et le mot transmis de passe, son dans googleapis.com.

La société a égallement partagé une vidéo de démonstration:

BleepingComputer a également observé que les informations d’identification étaient transmises à Google lors de nos tests utilisant Chrome pour visiter des sites importants tels que:

  • CNN: nom d’utilisateur et mot de passe lors de l’utilisation de « afficher le mot de passe »
  • Facebook.com : nom d’utilisateur et mot de passe lors de l’utilisation de « Afficher le mot de passe »
  • SSA.gov (Social Security Login) – champ Nom d’utilisateur uniquement
  • Bank of America : champ du nom d’utilisateur uniquement
  • Verizon – Champ de nom d’utilisateur uniquement

Une solution HTML simple : ‘spellcheck=false’

Bien que la transmission des champs du formulaire se fasse de manière sécurisée via HTTPS, il se peut que l’on ne sache pas très bien ce qu’il advient des données de l’utilisateur une fois qu’elles atteignent le tiers, exemple, le serveur Google.

« Les Fonction de vérification orthographique améliorée nécessite un abonnement utilisateur », a confirmé un porte-parole de Google à BleepingComputer. Notez que cela contraste avec le correcteur orthographique de base qui est activé dans Chrome par défaut et ne transmet pas de données à Google.

Pour vérifier si la vérification orthographique améliorée est activée dans votre navigateur Chrome, copiez et collez le lien suivant dans votre barre d’adresse. Vous pouvez ensuite choisir de l’activer ou de le désactiver :

chrome://settings/?search=Vérification orthographique+amélioré

amélioration des paramètres de vérification orthographique de chrome
Le paramètre de vérification orthographique améliorée dans Chrome doit être activé (Ordinator Bip)

Comme le montre la capture d’écran, la description de la fonctionnalité indique explicitement qu’avec la vérification orthographique améliorée activée, “le texte que vous saisissez dans le navigateur est envoyé à Google”.

« Le texte saisi par l’utilisateur peut être une information personnelle sensible et n’est lié à aucune identité d’utilisateur par Google et n’est traité que temporairement sur le serveur par Google. Pour garantir davantage la confidentialité des utilisateurs, nous nous efforcerons d’exclure de manière proactive les mots de passe de l’orthographe du vérificateur. Google a poursuivi dans sa déclaration partagée avec nous.

« Nous apprécions la collaboration avec la communauté de la sécurité et recherchons toujours des moyens de mieux protéger la confidentialité des utilisateurs et les informations sensibles. »

Quant à Edge, le vérificateur d’orthographe et de grammaire de Microsoft Editor est un plug-in de navigateur qui doit être explicitement installé pour que ce comportement se produise.

BleepingComputer a contacté Microsoft bien avant la publication. On nous a dit que l’affaire faisait l’objet d’une enquête, mais nous n’avons pas encore reçu de nouvelles.

otto-js a appelé le vecteur d’attaque « Spell-jacking » et a soulevé des inquiétudes pour les utilisateurs de services cloud tels qu’Office 365, Alibaba Cloud, Google Cloud – Secret Manager, Amazon AWS – Secrets Manager et LastPass.

En réponse au rapport d’otto-js, AWS et LastPass ont atténué le problème. Dans le cas de LastPass, le remède a été atteint en ajoutant un simple attribut HTML correcteur orthographique = “faux” au champ mot de passe :

champ mot de passe de dernier passage
Le champ « mot de passe » de LastPass inclut désormais l’attribut HTML spellcheck=false (Ordinator Bip)

L’attribut HTML « vérificateur orthographique » lorsqu’il est omis des champs de saisie de texte du formulaire est généralement supposé par les navigateurs Web comme étant vrai par défaut. Un champ de saisie avec un « correcteur orthographique » explicitement défini sur faux il ne sera pas traité par le correcteur orthographique d’un navigateur Web.

« Les entreprises peuvent atténuer le risque de partager les PII de leurs clients en ajoutant ‘spellcheck=false’ à tous les champs de saisie, bien que cela puisse créer des problèmes pour les utilisateurs », jant liquefé faité faisé les utilisateurs sont maintenant ils ne le seront pas. Capable d’exécuter votre texte saisi à travers le correcteur orthographique.

« Alternativement, vous pouvez l’ajouter uniquement aux champs de formulaire contenant des données sensibles. Les entreprises peuvent égallement supprimer la capacité “Afficher le mot de passe”. Cela n’empêchera pas le orthographe, mais cela empêchera l’envoi des mots de passe des utilisateurs. »

Ironiquement, nous notons que le formulaire de connexion de Twitter, qui est fourni avec l’option « afficher le mot de passe », a l’attribut HTML « vérificateur d’orthographe » du champ de mot de passe explicitement défini sur true :

champ de vérification orthographique twitter
Le champ de mot de passe Twitter contient « Afficher le mot de passe » et le correcteur orthographique est défini sur « true » (Ordinator Bip)

Comme protection supplémentaire, les utilisateurs de Chrome et Edge peuvent désactiver la vérification orthographique améliorée (en suivant les étapes ci-dessus) ou supprimer le plug-in Microsoft Editor d’Edge jusqu’à ce que été étéographs deux corrects a pour exclure le traitement des champs sensibles, tels que les mots de passe.

Leave a Comment