Google Chrome e Microsoft Edge offrono entrambi una funzione di controllo ortografico avanzata che rileva e corregge automaticamente le parole errate. Sebbene la funzione possa sembrare utile e conveniente, recenti ricerche dimostrano che può comportare seri rischi per la privacy.
Se abilitati manualmente, sia il controllo ortografico avanzato di Chrome che Microsoft Editor inviano i dati del modulo alle rispettive società madri, essenzialmente effettuando il controllo ortografico dei dati.
Che cos'è lo spell-jacking?
Lo spelljacking si riferisce all'esposizione di informazioni di identificazione personale (PII) attraverso Funzione di controllo ortografico migliorata in Chrome E Redattore Microsoft.
Ricerca della società di sicurezza JavaScript otto-js ha rilevato che tutti i dati inseriti in qualsiasi campo del modulo sono stati trasmessi ai server di terze parti di Google e Microsoft quando è stata abilitata la funzione di controllo ortografico avanzato.
A seconda dei siti Web visitati, le informazioni trapelate potrebbero includere nome utente, password, indirizzo, data di nascita, numero di previdenza sociale (SSN), informazioni bancarie e di pagamento e altro.
Sebbene entrambe le funzionalità siano disattivate per impostazione predefinita, riguarda quanto siano facili da abilitare e la maggior parte degli utenti le abilita senza rendersi conto di cosa sta succedendo in background.
Chi è a rischio?
otto-js ha identificato i primi cinque servizi online a rischio di questa falla di sicurezza. Includono il servizio cloud di Alibaba, Office 365, AWS Secret Manager, Google Cloud Secret Manager e LastPass. Secondo quanto riferito, sia AWS che LastPass hanno mitigato il problema, mentre Google lo ha affrontato per alcuni dei suoi servizi.
Tuttavia, non sono solo gli utenti aziendali a essere a rischio. otto-js ha testato più di 50 siti Web che le persone utilizzano frequentemente e che hanno accesso a informazioni sensibili. Ha suddiviso 30 di questi siti Web in sei categorie e ha selezionato i primi cinque siti Web per categoria per creare un punto di riferimento della frequenza e dell'intensità dell'esposizione. Le sei categorie includono:
- Banca online
- Assistenza sanitaria
- Strumenti per l'ufficio cloud
- Governo
- Social media
- Commercio elettronico
Nel gruppo di controllo di 30 siti Web testati, otto-js ha rilevato che circa il 97% ha inviato dati utente sensibili a Google e Microsoft quando le funzionalità di controllo ortografico erano abilitate.
Inoltre, oltre il 73% dei siti Web ha inviato password alle aziende quando gli utenti hanno fatto clic su "mostra password".
Ciò presenta un problema di sicurezza significativo per le credenziali aziendali e la sicurezza lato client.
Come mitigare lo spell-jacking
Il modo migliore per proteggere le tue credenziali di accesso è utilizzare a gestore di password sicuro, un buon programma antiviruse crittografando il tuo traffico con a VPN. Tuttavia, le normali pratiche di sicurezza informatica non sono sufficienti in questo caso.
Un modo per ridurre al minimo l'esposizione per le aziende è includere "spellcheck=false" nei campi di input che richiedono informazioni personali. Ciò bloccherà efficacemente quei campi dagli strumenti di controllo ortografico, il che significa che il controllo ortografico sarà disabilitato per quelle voci.
Un altro modo in cui le aziende possono mitigare l'impatto del controllo ortografico è disabilitando la funzione "mostra password" per gli utenti. Questo non fermerà il controllo ortografico, ma impedirà l'invio delle password degli utenti.
Le aziende possono anche implementare soluzioni di sicurezza degli endpoint in grado di disabilitare le funzionalità di controllo ortografico e impedire ai propri dipendenti di installare estensioni del browser compromesse.
Per i singoli utenti, ecco come disattivare la funzione di controllo ortografico avanzata nei browser Chrome e Edge:
Google Chrome
Il modo più semplice per proteggere i tuoi dati personali dall'invio a Google è rimuovere per il momento la funzione di controllo ortografico avanzata. Puoi disabilitare la funzione nelle impostazioni di Chrome procedendo nel seguente modo:
- Clicca il tre punti nell'angolo in alto a destra del browser e selezionare Impostazioni.
- Scorri verso il basso e fai clic Avanzate per visualizzare impostazioni aggiuntive.
- Selezionare Le lingue dalle opzioni che appaiono sulla sinistra dello schermo.
- Sotto il Controllo ortografico sezione, deselezionare la Controllo ortografico migliorato opzione.
Puoi anche accedere alla pagina semplicemente incollando il seguente link nella barra degli indirizzi del tuo browser e premendo Invio:
cromo://settings/?search=Enhanced+Spell+CheckMicrosoft Edge
Per gli utenti di Microsoft Edge, il correttore ortografico viene fornito come componente aggiuntivo del browser. A rimuovere l'estensione dal browser, fai clic con il pulsante destro del mouse sull'icona dell'estensione e scegli "Rimuovi da Microsoft Edge".
Se non riesci a trovare l'icona nella home page del tuo browser, puoi andare alla libreria delle estensioni e rimuoverla da lì. Basta fare clic su "Estensioni" a destra della barra degli indirizzi del browser per trovare le estensioni. Seleziona "Altre azioni" accanto all'estensione che desideri rimuovere e fai clic su "Rimuovi da Microsoft Edge".
Ed è così che mantieni i tuoi dati personali al sicuro per il momento.
