Google Chrome a Microsoft Edge ponúkajú vylepšenú funkciu kontroly pravopisu, ktorá automaticky rozpoznáva a opravuje nesprávne napísané slová. Hoci sa táto funkcia môže zdať užitočná a pohodlná, nedávny výskum ukazuje, že môže predstavovať vážne riziká pre súkromie.
Keď je manuálne aktivované, vylepšená kontrola pravopisu prehliadača Chrome a editor Microsoft Editor odosielajú vaše údaje formulárov späť ich materským spoločnostiam, čím sa v podstate rušia pravopisy.
Čo je Spell-Jacking?
Spell-jacking sa vzťahuje na odhalenie osobne identifikovateľných informácií (PII). Vylepšená funkcia kontroly pravopisu v prehliadači Chrome a Microsoft Editor.
Výskum bezpečnostnej firmy JavaScript otto-js zistili, že všetky údaje zadané do ľubovoľného poľa formulára sa preniesli na servery tretích strán Google a Microsoft, keď bola povolená funkcia vylepšenej kontroly pravopisu.
V závislosti od webových stránok, ktoré navštívite, môžu uniknuté informácie zahŕňať používateľské meno, heslo, adresu, dátum narodenia, číslo sociálneho poistenia (SSN), bankové a platobné údaje a ďalšie.
Aj keď sú obe funkcie predvolene vypnuté, ide o to, ako ľahko sa dajú povoliť a väčšina používateľov ich povolí bez toho, aby si uvedomili, čo sa deje na pozadí.
Kto je v ohrození?
otto-js identifikoval päť najlepších online služieb, ktoré sú ohrozené touto bezpečnostnou chybou. Zahŕňajú cloudovú službu Alibaba, Office 365, AWS Secret Manager, Google Cloud Secret Manager a LastPass. AWS aj LastPass údajne tento problém zmiernili, zatiaľ čo Google ho riešil pri niektorých svojich službách.
Ohrození však nie sú len podnikoví používatelia. otto-js testoval viac ako 50 webových stránok, ktoré ľudia často používajú a ktoré majú prístup k citlivým informáciám. Rozdelil 30 z týchto webových stránok do šiestich kategórií a vybral päť najlepších webových stránok podľa kategórie, aby sa vytvorila referenčná hodnota frekvencie a intenzity vystavenia. Šesť kategórií zahŕňa:
- Online bankovníctvo
- Zdravotná starostlivosť
- Cloud Office Tools
- vláda
- Sociálne médiá
- Elektronický obchod
V kontrolnej skupine 30 testovaných webových stránok otto-js zistil, že približne 97 percent odosielalo citlivé údaje používateľov späť spoločnostiam Google a Microsoft, keď boli povolené funkcie kontroly pravopisu.
Okrem toho viac ako 73 percent webových stránok poslalo spoločnostiam heslá, keď používatelia klikli na „zobraziť heslo“.
To predstavuje významný bezpečnostný problém pre podnikové poverenia a bezpečnosť na strane klienta.
Ako zmierniť Spell-Jacking
Najlepším spôsobom ochrany prihlasovacích údajov je použitie a bezpečný správca hesiel, dobrý antivírusový programa šifrovanie vašej prevádzky pomocou a VPN. Bežné postupy kybernetickej bezpečnosti však v tomto prípade nestačia.
Jedným zo spôsobov, ako minimalizovať vystavenie spoločnostiam, je zahrnúť „spellcheck=false“ do vstupných polí, ktoré vyžadujú osobné informácie. To účinne zablokuje tieto polia pred nástrojmi na kontrolu pravopisu, čo znamená, že kontrola pravopisu bude pre tieto položky zakázaná.
Ďalším spôsobom, ako môžu spoločnosti zmierniť dopad pravopisu, je zakázanie funkcie „zobraziť heslo“ pre používateľov. Toto nezastaví pravopis, ale zabráni odosielaniu hesiel používateľov.
Spoločnosti môžu tiež implementovať riešenia zabezpečenia koncových bodov, ktoré môžu vypnúť funkcie kontroly pravopisu a zabrániť svojim zamestnancom v inštalácii napadnutých rozšírení prehliadača.
Tu je návod, ako môžete pre jednotlivých používateľov zakázať vylepšenú funkciu kontroly pravopisu v prehliadačoch Chrome a Edge:
Google Chrome
Najjednoduchší spôsob, ako ochrániť svoje osobné údaje pred odoslaním spoločnosti Google, je predbežne odstrániť vylepšenú funkciu kontroly pravopisu. Túto funkciu môžete zakázať v nastaveniach prehliadača Chrome vykonaním týchto krokov:
- Kliknite na tri bodky v pravom hornom rohu prehliadača a vyberte nastavenie.
- Prejdite nadol a kliknite Pokročilé pre zobrazenie ďalších nastavení.
- Vyberte Jazyky z možností, ktoré sa zobrazia na ľavej strane obrazovky.
- Pod Kontrola pravopisu zrušte začiarknutie Vylepšená kontrola pravopisu možnosť.
Na stránku sa dostanete aj jednoduchým vložením nasledujúceho odkazu do panela s adresou prehliadača a stlačením klávesu Enter:
chróm://settings/?search=Enhanced+Spell+Check
Microsoft Edge
Pre používateľov Microsoft Edge prichádza kontrola pravopisu ako doplnok prehliadača. Komu odstráňte rozšírenie z prehliadača, kliknite pravým tlačidlom myši na ikonu rozšírenia a vyberte možnosť „Odstrániť z Microsoft Edge“.
Ak nemôžete nájsť ikonu na domovskej stránke prehliadača, môžete prejsť do knižnice rozšírení a odstrániť ju odtiaľ. Ak chcete nájsť rozšírenia, jednoducho kliknite na položku „Rozšírenia“ napravo od panela s adresou prehliadača. Vyberte "Ďalšie akcie" vedľa rozšírenia, ktoré chcete odstrániť, a kliknite na "Odstrániť z Microsoft Edge".
A takto zatiaľ uchovávate svoje osobné údaje v bezpečí.