.
O Google Chrome e o Microsoft Edge oferecem um recurso aprimorado de verificação ortográfica que detecta e corrige automaticamente palavras com erros ortográficos. Embora o recurso possa parecer útil e conveniente, pesquisas recentes demonstram que ele pode representar sérios riscos à privacidade.
Quando ativados manualmente, tanto o Enhanced Spellcheck do Chrome quanto o Microsoft Editor enviam seus dados de formulário de volta para suas empresas-mãe, essencialmente fazendo um corretor ortográfico dos dados.
O que é Spelljacking?
Spell-jacking refere-se à exposição de informações de identificação pessoal (PII) por meio do recurso de verificação ortográfica aprimorada no Chrome e no Microsoft Editor.
Uma pesquisa da empresa de segurança JavaScript otto-js descobriu que todos os dados inseridos em qualquer campo de formulário foram transmitidos para servidores de terceiros do Google e da Microsoft quando o recurso de verificação ortográfica aprimorado foi ativado.
Dependendo dos sites que você visita, as informações vazadas podem incluir nome de usuário, senha, endereço, data de nascimento, número de seguro social (SSN), informações bancárias e de pagamento e muito mais.
Embora ambos os recursos estejam desativados por padrão, é uma questão de quão fácil é ativá-los e a maioria dos usuários os habilita sem perceber o que está acontecendo em segundo plano.
Quem está em risco?
O otto-js identificou os cinco principais serviços online que correm risco com essa falha de segurança. Eles incluem o Cloud Service do Alibaba, Office 365, AWS Secret Manager, Google Cloud Secret Manager e LastPass. Tanto a AWS quanto o LastPass supostamente atenuaram o problema, enquanto o Google o abordou em alguns de seus serviços.
No entanto, não são apenas os usuários corporativos que estão em risco. O otto-js testou mais de 50 sites que as pessoas usam com frequência e que têm acesso a informações confidenciais. Ele dividiu 30 desses sites em seis categorias e selecionou os cinco principais sites por categoria para criar um benchmark da frequência e intensidade da exposição. As seis categorias incluem:
- Acesso a operações bancárias via Internet
- Assistência médica
- Ferramentas do Cloud Office
- Governo
- Mídia social
- Comércio eletrônico
No grupo de controle de 30 sites testados, o otto-js descobriu que cerca de 97% enviaram dados confidenciais do usuário de volta ao Google e à Microsoft quando os recursos de verificação ortográfica foram ativados.
Além disso, mais de 73% dos sites enviaram senhas para as empresas quando os usuários clicaram em “mostrar senha”.
Isso apresenta uma preocupação de segurança significativa para credenciais corporativas e segurança do lado do cliente.
Como mitigar o Spell-Jack
A melhor maneira de proteger suas credenciais de login é usar um gerenciador de senhas seguro, um bom programa antivírus e criptografar seu tráfego com uma VPN. No entanto, as práticas normais de segurança cibernética não são suficientes neste caso.
Uma maneira de minimizar a exposição das empresas é incluir “spellcheck=false” nos campos de entrada que exigem informações pessoais. Isso bloqueará efetivamente esses campos das ferramentas de verificação ortográfica, o que significa que a verificação ortográfica será desabilitada para essas entradas.
Outra maneira que as empresas podem mitigar o impacto do spelljacking é desabilitando o recurso “mostrar senha” para os usuários. Isso não interromperá o desvio de feitiços, mas impedirá que as senhas dos usuários sejam enviadas.
As empresas também podem implementar soluções de segurança de endpoint que podem desativar os recursos de verificação ortográfica e impedir que seus funcionários instalem extensões de navegador comprometidas.
Para usuários individuais, veja como você pode desativar o recurso de verificação ortográfica aprimorada nos navegadores Chrome e Edge:
Google Chrome
A maneira mais fácil de proteger seus dados pessoais de serem enviados ao Google é removendo o recurso de verificação ortográfica aprimorado por enquanto. Você pode desativar o recurso nas configurações do Chrome executando estas etapas:
- Clique no três pontos no canto superior direito do seu navegador e selecione Definições.
- Role para baixo e clique Avançado para visualizar configurações adicionais.
- Selecionar línguas das opções que aparecem à esquerda da tela.
- Debaixo de Verificação ortográfica seção, desmarque a Verificação ortográfica aprimorada opção.
Você também pode acessar a página simplesmente colando o seguinte link na barra de endereços do seu navegador e pressionando Enter:
chrome:
Microsoft borda
Para usuários do Microsoft Edge, o corretor ortográfico vem como um complemento do navegador. Para remover a extensão do seu navegador, clique com o botão direito do mouse no ícone da extensão e escolha “Remover do Microsoft Edge”.
Se você não encontrar o ícone na página inicial do seu navegador, vá para a biblioteca de extensões e remova-o de lá. Basta clicar em “Extensões” à direita da barra de endereços do navegador para encontrar as extensões. Selecione “Mais ações” ao lado da extensão que deseja remover e clique em “Remover do Microsoft Edge”.
E é assim que você mantém seus dados pessoais seguros por enquanto.
.
