Основы Интернет - технологий.

Эксперты из компании otto-js, специализирующейся на безопасности jаvascript, предупредили, что функции расширенной проверки орфографии в браузерах Google Chrome и Microsoft Edge могут передавать личные данные пользователей (в некоторых случаях, включая пароли) в Google и Microsoft.

Исследователи объясняют, что Chrome и Edge сразу поставляются с включенными базовыми средствами для проверки орфографии. Однако существует расширенная проверка орфографии в Chrome (Chrome Enhanced Spellcheck) и Microsoft Editor, которую пользователь может включить вручную. И это, по мнению экспертов, уже представляет потенциальную угрозу конфиденциальности.

Дело в том, что при использовании Chrome и Edge,если расширенные функции проверки орфографии включены, данные из заполненных пользователем форм передаются на серверы Google и Microsoft. В зависимости от сайта, формы могут содержать личные данные, в том числе: номера социального страхования, имя, адрес, адрес электронной почты, дату рождения, контактную информацию, банковскую и платежную информацию и так далее.

Глава otto-js Джош Саммит рассказывает, что когда Chrome Enhanced Spellcheck или Microsoft Editor включены, «практически все», введенное в поля форм, передается в Google и Microsoft.

В качестве примера исследователи показали ввод учетных данных для Alibaba Cloud в браузере Chrome (хотя для такой демонстрации подойдет почти любой сайт). При включенной расширенной проверке орфографии, если пользователь воспользовался функцией «показать пароль», все поля формы, включая имя пользователя и его пароль, передаются по адресу googleapis.com.

Также компания опубликовала видеодемонстрацию проблемы.

Журналисты издания Bleeping Computer провели собственные тесты и пишут, что при активной расширенной проверке орфографии и использовании Chrome сайты передавали в Google следующие данные:

• CNN — имя пользователя и пароль (после нажатия «показать пароль»);


• com — имя пользователя и пароль (после нажатия «показать пароль»);


• gov — только поле имени пользователя;


• Bank of America — только поле имени пользователя;


• Verizon — только поле имени пользователя.

Хотя передача полей форм происходит посредством HTTPS, не сосем ясно, что происходит с пользовательскими данными, когда они достигают удаленного сервера, в данном примере — сервера Google.

Проверить, включена ли расширенная проверка орфографии в Chrome, можно введя в адресную строку chrome://settings/?search=Enhanced+Spell+Check.

Представители Google подтвердили журналистам, что использование Enhanced Spellcheck требует согласия пользователя. И, как видно на скриншоте выше, сам браузер предупреждает, что в таком случае введенный в браузере текст будет передаваться на серверы Google.

Что касается Edge, здесь Microsoft Editor Spelling & Grammar Checker — это отдельный аддон для браузера, который необходимо установить, чтобы опасное поведение имело место.

Также в otto-js предупредили, что в опасности могут быть данные пользователей Office 365, Alibaba Cloud, Google Cloud — Secret Manager, Amazon AWS — Secrets Manager и LastPass. После уведомления от исследователей в AWS и LastPass уже устранили проблему. В случае с LastPass решение было совсем простым: хватило добавления HTML-атрибута spellcheck="false" в для ввода поле пароля.

Что касается пользователей, они могут попросту отключить расширенную проверку орфографии в браузерах до тех пор, пока компании не пересмотрят свой подход к обработке информации из полей, содержащих конфиденциальные данные.