Google, Microsoft peuvent obtenir vos mots de passe via le correcteur orthographique d’un navigateur Web

Les fonctionnalités étendues de vérification orthographique des navigateurs Web Google Chrome et Microsoft Edge transfèrent les données des formulaires, y compris les informations personnelles identifiables (PII) et, dans certains cas, les mots de passe, à Google et Microsoft, respectivement.

Bien qu’il s’agisse d’une fonctionnalité bien connue et prévue de ces navigateurs Web, cela soulève des inquiétudes quant à ce qu’il advient des données après la transmission et à la sécurité de cette pratique, en particulier en ce qui concerne les champs de mot de passe.

Chrome et Edge sont tous deux livrés avec les correcteurs orthographiques de base activés. Cependant, des fonctionnalités telles que la vérification orthographique améliorée dans Chrome ou Microsoft Editor lorsqu’elles sont activées manuellement par l’utilisateur présentent ces risques potentiels pour la confidentialité.

Spell-jacking : il s’agit du correcteur orthographique qui envoie des informations PII à Big Tech

Lorsque vous utilisez les principaux navigateurs Web tels que Chrome et Edge, les données de formulaire sont envoyées à Google et Microsoft, respectivement, si les fonctionnalités de vérification orthographique améliorées sont activées.

Selon le site Web que vous visitez, les données du formulaire elles-mêmes peuvent inclure des informations personnellement identifiables – y compris, mais sans s’y limiter, les numéros de sécurité sociale (SSN) / numéros de sécurité sociale (SIN), le nom, l’adresse, l’e-mail, la date de naissance (DOB) et coordonnées, informations bancaires et de paiement, etc.

Josh Summit, co-fondateur et directeur de la technologie de la société de sécurité JavaScript OTTO-JS, a découvert ce problème en testant la détection du comportement des scripts de son entreprise.

Dans les cas où la vérification orthographique améliorée de Chrome ou l’éditeur Microsoft Edge (vérificateur d’orthographe) était activé, « tout » saisi dans les champs de formulaire de ces navigateurs était envoyé à Google et Microsoft.

« De plus, si vous cliquez sur Afficher le mot de passe, le correcteur orthographique amélioré envoie votre mot de passe, qui correspond essentiellement à l’orthographe de vos données », explique otto-js sur Article de blog.

READ  Le service de jeu cloud Luna d'Amazon est maintenant disponible sur Android

« Certains des plus grands sites Web au monde sont susceptibles d’envoyer des informations PII sensibles à Google et Microsoft, y compris le nom d’utilisateur, l’e-mail et les mots de passe, lorsque les utilisateurs se connectent ou remplissent des formulaires. Il est encore plus important pour les entreprises de divulguer cela à leurs Organisation d’entreprise des actifs internes tels que les bases de données et l’infrastructure cloud.

Champs du formulaire de connexion Alibaba
Champs du formulaire de connexion Alibaba, avec « Afficher le mot de passe » activé (Otto-JS)
Le correcteur orthographique amélioré transmet le mot de passe à Microsoft et Google
Le correcteur orthographique amélioré de Chrome transmet le mot de passe à Google (Otto-JS)

Les utilisateurs comptent souvent sur l’option « Afficher le mot de passe » sur les sites où le copier-coller des mots de passe n’est pas autorisé, par exemple, ou lorsqu’ils soupçonnent qu’ils les ont mal saisis.

Pour illustrer, otto-js a partagé un exemple d’utilisateur entrant un identifiant sur la plate-forme cloud d’Alibaba dans le navigateur Web Chrome – bien que n’importe quel site Web puisse être utilisé pour cette démonstration.

Lorsque la vérification orthographique améliorée est activée, et en supposant que l’utilisateur clique sur Afficher le mot de passe, les champs du formulaire, y compris le nom d’utilisateur et le mot de passe, sont soumis à Google à l’adresse googleapis.com.

Une vidéo de démonstration a également été partagée par la société :

BleepingComputer a également remarqué que les informations d’identification étaient transférées à Google lors de nos tests utilisant Chrome pour visiter des sites majeurs tels que :

  • CNN – Nom d’utilisateur et mot de passe lors de l’utilisation de Afficher le mot de passe
  • Facebook.com – Nom d’utilisateur et mot de passe lors de l’utilisation de Afficher le mot de passe
  • SSA.gov (connexion à la sécurité sociale) — champ Nom d’utilisateur uniquement
  • Bank of America – champ Nom d’utilisateur uniquement
  • Verizon – champ Nom d’utilisateur uniquement
READ  La mise à jour de sécurité du Galaxy S10 Lite de mai 2022 est désormais disponible

Solution HTML simple : « Orthographe = Faux »

Bien que les champs de formulaire soient transmis en toute sécurité via HTTPS, il peut ne pas être immédiatement évident de savoir ce qu’il advient des données de l’utilisateur une fois qu’elles atteignent le tiers, dans cet exemple, le serveur Google.

« La Fonction d’orthographe améliorée Nécessite que l’utilisateur soit activé « , a confirmé un porte-parole de Google à BleepingComputer. Notez que cela entre en conflit avec le correcteur orthographique de base qui est activé dans Chrome par défaut et ne transfère pas de données à Google.

Pour vérifier si la vérification orthographique améliorée est activée dans Chrome, copiez et collez le lien suivant dans la barre d’adresse. Vous pouvez ensuite choisir de l’activer ou de le désactiver :

chrome://paramètres/? recherche = Amélioré + Orthographe + Vérifier

Paramètres d'orthographe améliorés de Chrome
Le paramètre de vérification orthographique améliorée doit être activé dans Chrome (ordinateur en veille)

Comme le montre la capture d’écran, la description de la fonctionnalité indique explicitement qu’avec la vérification orthographique améliorée activée, « le texte que vous saisissez dans le navigateur est envoyé à Google ».

« Le texte qu’un utilisateur saisit peut être une information personnelle sensible que Google n’attache à aucune identité d’utilisateur et ne la traite que temporairement sur le serveur. Pour garantir davantage la confidentialité des utilisateurs, nous exclurons de manière proactive les mots de passe de la vérification orthographique », a poursuivi Google dans son communiqué conjoint. déclaration avec nous.

« Nous apprécions la collaboration avec la communauté de la sécurité et recherchons toujours des moyens de mieux protéger la confidentialité des utilisateurs et les informations sensibles. »

Pour Edge, le vérificateur d’orthographe et de grammaire de Microsoft Editor est un fichier Module complémentaire de navigateur qui doit être explicitement installé pour que ce comportement se produise.

BleepingComputer a contacté Microsoft avant la publication. On nous a dit que la question était à l’étude mais nous n’avons pas encore reçu de réponse.

READ  SVP pour Android propose une invitation ouverte à aider Apple à mettre des SMS RCS sur iPhone

otto-js a appelé le vecteur d’attaque « Spell-jacking » et a exprimé son inquiétude aux utilisateurs de services cloud tels qu’Office 365, Alibaba Cloud, Google Cloud – Secret Manager, Amazon AWS – Secrets Manager et LastPass.

En réponse au rapport otto-js, AWS et LastPass ont atténué le problème. Dans le cas de LastPass, le remède a été atteint en ajoutant un simple attribut HTML orthographe = « faux » Au champ mot de passe :

champ lastpass .password
Le champ « mot de passe » de LastPass inclut désormais l’orthographe = mauvais attribut HTML (ordinateur en veille)

L’attribut HTML « Orthographe » lorsqu’il est laissé à partir des champs de saisie de texte du formulaire est Les navigateurs Web supposent généralement que c’est vrai Par défaut. Champ de saisie avec la vérification orthographique explicitement définie sur Faux Il ne sera pas traité par le correcteur orthographique du navigateur Web.

« Les entreprises peuvent atténuer le risque de partager des informations personnellement identifiables pour leurs clients – en ajoutant ‘orthographe = faux’ à tous les champs de saisie, bien que cela puisse créer des problèmes pour les utilisateurs », explique otto-js, faisant référence au fait qu’ils ne le feront pas. Les utilisateurs peuvent désormais exécuter le texte saisi via le vérificateur d’orthographe.

Vous pouvez également l’ajouter uniquement aux champs de formulaire contenant des données sensibles. Les entreprises peuvent également supprimer la possibilité d’afficher le mot de passe.

Ironiquement, nous avons remarqué le formulaire de connexion Twitter, qui est livré avec une option « afficher le mot de passe », où l’attribut HTML « orthographe » du champ mot de passe est défini sur vrai :

Champ d'orthographe Twitter
Le champ du mot de passe Twitter contient « Afficher le mot de passe » et l’orthographe est définie sur « True » (ordinateur en veille)

Par mesure de précaution supplémentaire, les utilisateurs de Chrome et Edge peuvent désactiver la vérification orthographique améliorée (en suivant les étapes ci-dessus) ou Supprimer le module complémentaire Microsoft Editor d’Edge Les deux sociétés examinent même des correcteurs orthographiques étendus pour exclure le traitement de champs sensibles, tels que les mots de passe.

LEAVE A REPLY

Please enter your comment!
Please enter your name here