Google Chrome i Microsoft Edge nude poboljšanu značajku provjere pravopisa koja automatski otkriva i ispravlja pogrešno napisane riječi. Iako se značajka može činiti korisnom i praktičnom, nedavna istraživanja pokazuju da može predstavljati ozbiljne rizike za privatnost.
Kada su ručno omogućeni, i Chromeova poboljšana provjera pravopisa i Microsoftov uređivač šalju vaše podatke iz obrasca natrag svojim matičnim tvrtkama, u biti spell-cracking podatke.
Što je Spell-Jacking?
Spell jacking se odnosi na izlaganje osobnih podataka (PII) putem Poboljšana značajka provjere pravopisa u Chromeu i Microsoft Editor.
Istraživanje JavaScript sigurnosne tvrtke otto-js otkrio je da su svi podaci uneseni u bilo koje polje obrasca prenijeti Googleovim i Microsoftovim poslužiteljima trećih strana kada je omogućena poboljšana značajka provjere pravopisa.
Ovisno o web stranicama koje posjećujete, informacije koje su procurile mogle bi uključivati korisničko ime, lozinku, adresu, datum rođenja, broj socijalnog osiguranja (SSN), podatke o banci i plaćanju i još mnogo toga.
Iako su obje značajke prema zadanim postavkama isključene, zabrinjavajuće je koliko ih je lako omogućiti, a većina ih korisnika omogući ne shvaćajući što se događa u pozadini.
Tko je u opasnosti?
otto-js identificirao je pet najvećih online usluga koje su u opasnosti zbog ovog sigurnosnog propusta. Oni uključuju Alibabin Cloud Service, Office 365, AWS Secret Manager, Google Cloud Secret Manager i LastPass. I AWS i LastPass navodno su ublažili problem, dok ga je Google riješio za neke svoje usluge.
Međutim, nisu samo poslovni korisnici u opasnosti. otto-js testirao je više od 50 web stranica koje ljudi često koriste i koje imaju pristup osjetljivim informacijama. Podijelio je 30 od tih web-mjesta u šest kategorija i odabrao pet najboljih web-mjesta po kategoriji kako bi stvorio mjerilo učestalosti i intenziteta izloženosti. Šest kategorija uključuje:
- Online bankarstvo
- zdravstvo
- Cloud Office Alati
- Vlada
- Društveni mediji
- E-trgovina
U kontrolnoj skupini od 30 testiranih web stranica, otto-js je otkrio da je oko 97 posto slalo osjetljive korisničke podatke natrag Googleu i Microsoftu kada su značajke provjere pravopisa bile omogućene.
Nadalje, više od 73 posto web stranica poslalo je lozinke tvrtkama kada su korisnici kliknuli "pokaži lozinku".
To predstavlja značajan sigurnosni problem za vjerodajnice poduzeća i sigurnost na strani klijenta.
Kako ublažiti čaroliju
Najbolji način da zaštitite svoje vjerodajnice za prijavu je korištenje a siguran upravitelj lozinki, dobar antivirusni program, i šifriranje vašeg prometa pomoću a VPN. Međutim, normalne prakse kibernetičke sigurnosti u ovom slučaju nisu dovoljne.
Jedan od načina da se smanji izloženost tvrtki je uključivanje "spellcheck=false" u polja za unos koja zahtijevaju osobne podatke. To će učinkovito blokirati ta polja od alata za provjeru pravopisa, što znači da će provjera pravopisa biti onemogućena za te unose.
Drugi način na koji tvrtke mogu ublažiti utjecaj spell-jackinga je onemogućavanje značajke "prikaži lozinku" za korisnike. Ovo neće zaustaviti spell-jacking, ali će spriječiti slanje korisničkih lozinki.
Tvrtke također mogu implementirati sigurnosna rješenja krajnjih točaka koja mogu onemogućiti značajke provjere pravopisa i spriječiti njihove zaposlenike da instaliraju kompromitirana proširenja preglednika.
Za pojedinačne korisnike, evo kako možete onemogućiti značajku poboljšane provjere pravopisa u preglednicima Chrome i Edge:
Google Chrome
Najlakši način da zaštitite svoje osobne podatke od slanja Googleu je uklanjanjem značajke poboljšane provjere pravopisa za neko vrijeme. Značajku možete onemogućiti u postavkama Chromea tako što ćete izvršiti ove korake:
- Kliknite na tri točkice u gornjem desnom kutu preglednika i odaberite postavke.
- Pomaknite se prema dolje i kliknite Napredna za pregled dodatnih postavki.
- Izaberi Jezici iz opcija koje se pojavljuju na lijevoj strani ekrana.
- Ispod Provjera pravopisa odjeljak, poništite odabir Poboljšana provjera pravopisa opcija.
Stranici možete pristupiti i jednostavnim lijepljenjem sljedeće veze u adresnu traku preglednika i pritiskom na Enter:
krom://settings/?search=Enhanced+Spell+CheckMicrosoft Edge
Za korisnike Microsoft Edgea, provjera pravopisa dolazi kao dodatak pregledniku. Do uklonite proširenje iz preglednika, desnom tipkom miša kliknite ikonu proširenja i odaberite "Ukloni iz Microsoft Edgea."
Ako ne možete pronaći ikonu na početnoj stranici preglednika, možete otići u biblioteku proširenja i ukloniti je od tamo. Jednostavno kliknite "Proširenja" desno od adresne trake preglednika da biste pronašli proširenja. Odaberite "Više radnji" pokraj proširenja koje želite ukloniti i kliknite "Ukloni iz Microsoft Edgea".
I tako čuvate svoje osobne podatke za sada.