Google Chrome и Microsoft Edge предлагают расширенную функцию проверки орфографии, которая автоматически обнаруживает и исправляет слова с ошибками. Хотя эта функция может показаться полезной и удобной, недавние исследования показывают, что она может представлять серьезную угрозу конфиденциальности.
При ручном включении расширенная проверка орфографии Chrome и Microsoft Editor отправляют данные вашей формы обратно в свои родительские компании, по сути, искажая данные.
Что такое спеллджекинг?
Спелл-джекинг — это раскрытие информации, позволяющей установить личность (PII), через Расширенная функция проверки правописания в Chrome и Редактор Майкрософт.
Исследование фирмы по безопасности JavaScript Отто-JS обнаружил, что все данные, введенные в любое поле формы, передавались на сторонние серверы Google и Microsoft, когда была включена расширенная функция проверки орфографии.
В зависимости от веб-сайтов, которые вы посещаете, утечка информации может включать имя пользователя, пароль, адрес, дату рождения, номер социального страхования (SSN), банковскую и платежную информацию и многое другое.
Хотя обе функции отключены по умолчанию, важно, насколько легко их включить, и большинство пользователей включают их, не осознавая, что происходит в фоновом режиме.
Кто находится в группе риска?
Компания otto-js определила пять основных онлайн-сервисов, подверженных риску из-за этой уязвимости в системе безопасности. К ним относятся облачный сервис Alibaba, Office 365, AWS Secret Manager, Google Cloud Secret Manager и LastPass. Сообщается, что и AWS, и LastPass устранили проблему, в то время как Google решил ее для некоторых своих сервисов.
Однако риску подвергаются не только корпоративные пользователи. otto-js протестировал более 50 веб-сайтов, которые часто используются людьми и имеют доступ к конфиденциальной информации. Он разбил 30 из этих веб-сайтов на шесть категорий и выбрал пять лучших веб-сайтов в каждой категории, чтобы создать эталон частоты и интенсивности воздействия. Шесть категорий включают в себя:
- Онлайн банкинг
- Здравоохранение
- Инструменты облачного офиса
- Правительство
- Социальные медиа
- Электронная коммерция
В контрольной группе из 30 протестированных веб-сайтов otto-js обнаружил, что около 97% отправляли конфиденциальные пользовательские данные обратно в Google и Microsoft, когда были включены функции проверки орфографии.
Кроме того, более 73 процентов веб-сайтов отправляли компаниям пароли, когда пользователи нажимали «показать пароль».
Это представляет серьезную проблему безопасности для корпоративных учетных данных и безопасности на стороне клиента.
Как смягчить спеллджекинг
Лучший способ защитить свои учетные данные для входа — использовать безопасный менеджер паролей, хорошая антивирусная программаи шифрование вашего трафика с помощью VPN. Однако обычных методов кибербезопасности в этом случае недостаточно.
Один из способов свести к минимуму риск для компаний — включить «проверка орфографии = ложь» в поля ввода, требующие личной информации. Это эффективно заблокирует эти поля от инструментов проверки орфографии, а это означает, что проверка орфографии для этих записей будет отключена.
Еще один способ, с помощью которого компании могут смягчить воздействие спеллджекинга, — отключить функцию «показать пароль» для пользователей. Это не остановит спеллджекинг, но предотвратит отправку паролей пользователей.
Компании также могут внедрять решения для защиты конечных точек, которые могут отключать функции проверки орфографии и предотвращать установку скомпрометированных расширений браузера их сотрудниками.
Вот как отдельные пользователи могут отключить расширенную функцию проверки орфографии в браузерах Chrome и Edge:
Гугл Хром
Самый простой способ защитить ваши личные данные от отправки в Google — на время удалить расширенную функцию проверки орфографии. Вы можете отключить эту функцию в настройках Chrome, выполнив следующие действия:
- Нажмите на три точки в правом верхнем углу браузера и выберите Настройки.
- Прокрутите вниз и нажмите Передовой для просмотра дополнительных настроек.
- Выбирать Языки из вариантов, которые появляются в левой части экрана.
- Под Проверка орфографии раздел, снимите флажок Расширенная проверка орфографии вариант.
Вы также можете получить доступ к странице, просто вставив следующую ссылку в адресную строку браузера и нажав Enter:
хром://settings/?search=Enhanced+Spell+CheckMicrosoft Edge
Для пользователей Microsoft Edge средство проверки орфографии поставляется как надстройка для браузера. К удалите расширение из вашего браузера, щелкните правой кнопкой мыши значок расширения и выберите «Удалить из Microsoft Edge».
Если вы не можете найти значок на главной странице вашего браузера, вы можете перейти в библиотеку расширений и удалить его оттуда. Просто нажмите «Расширения» справа от адресной строки браузера, чтобы найти расширения. Выберите «Дополнительные действия» рядом с расширением, которое вы хотите удалить, и нажмите «Удалить из Microsoft Edge».
И так вы сохраните свои личные данные в безопасности на данный момент.