Este 16 de septiembre el equipo de investigación de otto-js realizó la publicación de su investigación, donde se encontró que mediante el uso de corrector ortográfico mejorado de Chrome y el MS Editor de Edge están enviando los datos que los usuarios ingresan en sus formularios, mismos que se transmiten a Google y Microsoft, respectivamente.
Entre los datos de formulario transmitidos está información de identificación personal (PII) como nombre de usuario, correo electrónico, fecha de nacimiento, SSN y en algunos casos, contraseñas, siempre que se tenga habilitada la opción de «corrector ortográfico mejorado». La misma descripción de dicha opción menciona que el texto que se escribe en el navegador será enviado a Google.
Los casos en los cuales la contraseña es enviada son bajo el escenario donde se hace clic en la opción de “mostrar contraseña”
Por defecto Chrome como Edge tiene activo correctores ortográficos básicos, la característica del corrector ortográfico mejorado puede ser habilitada manualmente por el usuario y son los que presentan este riesgo potencial para la privacidad.
En la investigación de otto-js se muestra los principales sitios web donde se comprobó que se tiene exposición de datos gracias al corrector ortográfico mejorado:
- Office 365
- Alibaba – Servicio en la nube
- Google Cloud – Secrets Manager
- AWS – Secrets Manager (Mitigado)
- LastPass (Mitigado)
Los sitios web en donde se pueden estar exponiendo información de los usuarios abarcan herramientas en la nube, banca en línea, salud, gobierno, redes sociales y comercio electrónico.
Recomendaciones
- Verificar que la opción “Corrector ortográfico mejorado” se encuentre deshabilitada en el navegador Chrome, para lo cual debe ir a Configuraciones > Idiomas > Revisión ortográfica
Para más información
- https://www.bleepingcomputer.com/news/security/google-microsoft-can-get-your-passwords-via-web-browsers-spellcheck/
- https://www.otto-js.com/news/article/chrome-and-edge-enhanced-spellcheck-features-expose-pii-even-your-passwords