Corretores ortográficos no Google Chrome podem expor suas senhas
Se você gosta de ser minucioso e usar um corretor ortográfico avançado, temos más notícias: suas informações pessoais podem estar em perigo.
O uso da verificação ortográfica estendida no Google Chrome e no Microsoft Edge transmite tudo o que você insere para que seja verificado. Infelizmente, isso inclui informações que devem ser estritamente criptografadas, como senhas.
Esse problema, relatado pela primeira vez pela empresa de segurança JavaScript otto-js, foi descoberto acidentalmente enquanto a empresa estava testando sua detecção de comportamentos de script. Josh Summitt, cofundador e CTO da otto-js, explica que praticamente tudo o que você insere nos campos do formulário com o corretor ortográfico avançado ativado é posteriormente transmitido ao Google e à Microsoft.
“Se você clicar em 'mostrar senha', a verificação ortográfica aprimorada ainda enviará sua senha, essencialmente fazendo um 'jacking ortográfico' de seus dados”, disse o otto-js em seu relatório . “Alguns dos maiores sites do mundo estão expostos ao envio de PII de usuários confidenciais do Google e da Microsoft [informações de identificação pessoal], incluindo nome de usuário, e-mail e senhas, quando os usuários estão fazendo login ou preenchendo formulários. Uma preocupação ainda mais significativa para as empresas é a exposição que isso apresenta às credenciais corporativas da empresa a ativos internos, como bancos de dados e infraestrutura em nuvem.”
Muitas pessoas usam “mostrar senha” para ter certeza de que não cometeram um erro de digitação, então, potencialmente, muitas senhas podem estar em risco aqui. O Bleeping Computer testou isso ainda mais e descobriu que digitar seu nome de usuário e senha na CNN e no Facebook enviava os dados para o Google, enquanto SSA.gov, Bank of America e Verizon enviavam apenas os nomes de usuário.
Tanto o Microsoft Edge quanto o Google Chrome vêm com corretores ortográficos integrados que são bastante básicos. Essas ferramentas não exigem nenhuma verificação adicional — o que você insere permanece no seu navegador. No entanto, se você estiver usando a verificação ortográfica aprimorada do Chrome ou o verificador ortográfico e gramatical do editor da Microsoft, tudo o que você digitar no navegador será enviado para o Google e a Microsoft, respectivamente.
Isso, por si só, não é inesperado. Quando você ativa o corretor ortográfico aprimorado no Chrome, o navegador informa que o “texto que você digita no navegador é enviado ao Google”. No entanto, muitas pessoas esperam que isso exclua as PII que geralmente são enviadas em formulários.
A gravidade disso depende dos sites que você visita. Alguns dados de formulário podem incluir números de Seguro Social e números de Seguro Social, seu nome completo, endereço e informações de pagamento. As credenciais de login também se enquadram nessa categoria.
É compreensível que suas entradas sejam enviadas para fora do navegador para utilizar o corretor ortográfico aprimorado, mas é difícil não questionar o quão seguro isso é quando os dados pessoais também recebem o mesmo tratamento.
Como ficar seguro
Se preferir que seus dados pessoais não sejam transmitidos à Microsoft e ao Google, pare de usar o corretor ortográfico avançado por enquanto. Isso significa desabilitar o recurso nas configurações do Chrome. Basta copiar e colar na barra de endereço do seu navegador: chrome://settings/?search=Enhanced+Spell+Check.
Para o Microsoft Edge, o corretor ortográfico avançado vem na forma de um complemento do navegador, portanto, basta clicar com o botão direito do mouse no ícone dessa extensão no navegador e tocar em Remover do Microsoft Edge .
O Google garantiu que não anexa nenhuma identidade de usuário aos dados que processa para o corretor ortográfico. No entanto, ele funcionará para excluir totalmente as senhas. A Microsoft disse que investigará o problema, mas ainda não acompanhou o Bleeping Computer além disso. A Microsoft atualmente tem outro problema com o Edge: hackers o estão usando para executar uma campanha de publicidade maliciosa .
