Google Chrome и Microsoft Edge предлагат подобрена функция за проверка на правописа, която автоматично открива и коригира неправилно написани думи. Въпреки че функцията може да изглежда полезна и удобна, последните изследвания показват, че тя може да представлява сериозен риск за поверителността.
Когато са активирани ръчно, както Chrome Enhanced Spellcheck, така и Microsoft Editor изпращат вашите данни от формуляра обратно на своите компании-майки, като по същество извличат данните.
Какво е Spell Jacking?
Извличането на заклинания се отнася до разкриването на информация, позволяваща идентифициране на самоличността (PII) чрез Подобрена функция за проверка на правописа в Chrome и Microsoft Editor.
Изследване на фирмата за сигурност на JavaScript otto-js установи, че всички данни, въведени в което и да е поле на формуляр, са били предадени на сървъри на трети страни на Google и Microsoft, когато функцията за подобрена проверка на правописа е била активирана.
В зависимост от уебсайтовете, които посещавате, изтеклата информация може да включва потребителско име, парола, адрес, дата на раждане, социалноосигурителен номер (SSN), банкова информация и информация за плащане и др.
Въпреки че и двете функции са изключени по подразбиране, въпросът е колко лесно се активират и повечето потребители ги активират, без да осъзнават какво се случва на заден план.
Кой е изложен на риск?
otto-js идентифицира първите пет онлайн услуги, които са изложени на риск от този пропуск в сигурността. Те включват облачната услуга на Alibaba, Office 365, AWS Secret Manager, Google Cloud Secret Manager и LastPass. Съобщава се, че както AWS, така и LastPass са смекчили проблема, докато Google го е адресирал за някои от своите услуги.
Въпреки това, не само корпоративните потребители са изложени на риск. otto-js тества повече от 50 уебсайта, които хората често използват и които имат достъп до чувствителна информация. Той разби 30 от тези уебсайтове в шест категории и избра петте най-добри уебсайта за категория, за да създаде еталон за честотата и интензивността на експозицията. Шестте категории включват:
- Онлайн банкиране
- Здравеопазване
- Облачни офис инструменти
- Правителство
- Социална медия
- Е-търговия
В контролната група от 30 тествани уебсайта otto-js установи, че около 97 процента изпращат чувствителни потребителски данни обратно на Google и Microsoft, когато функциите за проверка на правописа са били активирани.
Освен това над 73 процента от уебсайтовете изпращат пароли на компаниите, когато потребителите щракнат върху „покажи паролата“.
Това представлява значителна загриженост за сигурността за корпоративните идентификационни данни и сигурността от страна на клиента.
Как да смекчим заклинанията
Най-добрият начин да защитите идентификационните си данни за вход е като използвате a защитен мениджър на пароли, добра антивирусна програма, и криптиране на вашия трафик с a VPN. В този случай обаче нормалните практики за киберсигурност не са достатъчни.
Един от начините за минимизиране на експозицията за компаниите е да се включи "spellcheck=false" в полетата за въвеждане, които изискват лична информация. Това ефективно ще блокира тези полета от инструментите за проверка на правописа, което означава, че проверката на правописа ще бъде деактивирана за тези записи.
Друг начин, по който компаниите могат да смекчат въздействието на извличането на заклинания, е като деактивират функцията „показване на парола“ за потребителите. Това няма да спре извличането на заклинания, но ще предотврати изпращането на паролите на потребителите.
Компаниите могат също така да прилагат решения за сигурност на крайни точки, които могат да деактивират функциите за проверка на правописа и да попречат на техните служители да инсталират компрометирани разширения на браузъра.
За отделни потребители, ето как можете да деактивирате подобрената функция за проверка на правописа в браузърите Chrome и Edge:
Google Chrome
Най-лесният начин да защитите личните си данни от изпращане до Google е като за момента премахнете подобрената функция за проверка на правописа. Можете да деактивирате функцията в настройките на Chrome, като изпълните следните стъпки:
- Щракнете върху три точки в горния десен ъгъл на вашия браузър и изберете Настройки.
- Превъртете надолу и щракнете Разширено за да видите допълнителни настройки.
- Изберете Езици от опциите, които се появяват вляво на екрана.
- Под Проверка на правописа раздел, премахнете отметката от Подобрена проверка на правописа опция.
Можете също да получите достъп до страницата, като просто поставите следната връзка в адресната лента на браузъра си и натиснете Enter:
хром://settings/?search=Enhanced+Spell+CheckMicrosoft Edge
За потребителите на Microsoft Edge проверката на правописа идва като добавка за браузър. Да се премахнете разширението от браузъра си, щракнете с десния бутон върху иконата на разширението и изберете „Премахване от Microsoft Edge“.
Ако не можете да намерите иконата на началната страница на браузъра си, можете да отидете в библиотеката с разширения и да я премахнете от там. Просто щракнете върху „Разширения“ отдясно на адресната лента на браузъра, за да намерите разширения. Изберете „Още действия“ до разширението, което искате да премахнете, и щракнете върху „Премахване от Microsoft Edge“.
И така запазвате личните си данни в безопасност за момента.