Функционал расширенной проверки правописания в популярных браузерах Chrome и Edge в некоторых случаях способен сливать разработчикам личные и учетные данные пользователей. Соответствующее исследование провели эксперты компании otto-js.
Несмотря на то, что функционал проверки правописания в браузерах давно является привычным решением, некоторые специалисты по информационной безопасности только сейчас задумались о том, куда именно отправляются введенные пользователем данные, которые проверяет система.
Особенно интересен тот вопрос, что происходит с учетными данными пользователей, которые так же, как и любая другая текстовая информация, подвергается проверке орфографии. По словам экспертов по кибербезопасности изotto-js, расширенная версия проверки правильного написания в современных браузерах представляет серьезный риск для личной информации пользователей.
Например, если включить в браузере Chrome функцию Enhanced Spellcheck или в Edge Microsoft Editor, то введенные пользователем текстовые данные будут отправлены на сервера корпораций Google и Microsoft.
В компании otto-js отмечают, что в зависимости от того, на каком сайте находятся пользователи, в системы разработчиков могут быть переданы различные виды личной информации: номера соцстрахования, полные имена, адреса проживания, адреса электронной почты, даты рождения и другие контакты, а также платежные данные.
Специалист компании otto-js Джордж Саммит выявил эту проблему во время тестирования механизма обнаружение поведения скриптов. Эксперт отметил, что если активировать Enhanced Spellcheck или Microsoft Editor, то фактически вся введенная текстовая информация будет отправлена на сервера Google и Microsoft.
В своём блоге Джордж Саммит уточнил, что более того, если пользователь будет пользоваться функционалом «Показать пароль» при вводе своих учетных данных на различных сайтах и сервисах, то функция проверки правописания на серверах разработчиков отправит и их.
Иностранное издание Bleeping Computer решило протестировать эту теорию. В процессе исследования выяснилось, что браузер Chrome действительно передает разработчикам информацию, которую специалисты произвольно ввели на нескольких крупных сайтах. В частности, на сайтах CNN, Verizon, Bank of America и многих других.
Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Telegram | Дзен | YouTube | Rutube | Пульс.