A Chrome és az Edge fejlett helyesírás-ellenőrző funkciói kiszivárogtatják érzékeny adatainkat
Az irodai munka során nagy segítséget nyújthat, ha begépelt szövegeinket több helyesírás-ellenőrzőn is átfuttatjuk. Hiába az alaposság, mindig maradhatnak olyan hibák, melyek sokadik átnézés után sem fedik fel magukat a szerző előtt. Azonban nemrég a Google Chrome és a Microsoft Edge böngészőkhöz hozzáadott néhány fejlett helyesírás-ellenőrzési funkcióról kiderült, hogy mellékesen érzékeny információkat szivárogtatnak vissza az anyavállalatoknak.
Az otto-js nevű JavaScript biztonsági cég elemzése szerint a legtöbb felhasználó olyan funkciókat engedélyez, amelyekről azt hiszi, hogy hasznosak a hatékonyabb munkateljesítmény szempontjából, ám úgy tűnik, hogy ezzel saját személyes adatait, például felhasználóneveket, e-maileket, jelszavakat és egyebeket szivárogtatnak ki a böngészők mögött álló vállalatok számára. Alapértelmezés szerint mindkét böngésző rendelkezik alapvető, beépített helyesírás-ellenőrző funkciókkal, amelyek nem továbbítanak adatokat a Google vagy a Microsoft felé. A Chrome "Fokozott helyesírás-ellenőrzés" és az Edge "Microsoft Editor" kizárólag opt-in kiegészítések, tehát a felhasználóknak kifejezetten engedélyezniük kell őket, és bár egyértelművé teszik, hogy az adatainkat mindkét vállalatnak visszaküldik a termékek fejlesztése érdekében, az már nem annyira nyilvánvaló, hogy ez tartalmazhatja a személyazonosításra alkalmas adatainkat is.
"A weblap legtöbb szöveges mezőjével együttműködésben mindkét eszköz hozzáférhet "gyakorlatilag bármihez" - írja az otto-js. Ez azt jelenti, hogy minden online bevitt adat, beleértve a születési dátumot, a fizetési adatokat, a kapcsolattartási információkat és a bejelentkezési adatokat, visszakerülhet a Google és a Microsoft asztalára. A legtöbb weboldal, amely online letiltja a jelszavakat, elrejti ezeket a rendkívül érzékeny információkat a helyesírás-ellenőrző eszközök elől, de amikor a felhasználó rákattint a szöveg feltárására (például azért, hogy ellenőrizze, helyesen írta-e be a szöveget), az információk később nyilvánosságra kerülnek. A Bleeping Computer tech-portál jelentése szerint a Chrome segítségével megbizonyosodott a felhasználónevek továbbításáról az SSA.gov, a Bank of America és a Verizon felé, a jelszavak pedig a CNN és a Facebook előtt is csak akkor kerültek felfedésre, amikor a "jelszó megjelenítése" vagy azzal egyenértékű gombra kattintottak.
Az otto Javascript Security egy rövid videóval is demonstrálja, hogy a helyesírás-ellenőrző miként továbbítja a Google felé a felfedett jelszót. A kitettség minimalizálásának egyik módja, hogy a webfejlesztők "spellcheck=false" feliratot adnak minden olyan beviteli mezőhöz, amely bármiféle érzékeny adatokat igényelhet, így gyakorlatilag kizárják ezeket a mezőket a helyesírás-ellenőrző eszközökből, bár ez természetesen azt is jelenti, hogy a helyesírás-ellenőrzés ilyenkor ki lesz kapcsolva ezekben a bejegyzésekben. A felhasználó részéről pedig nagyon úgy tűnik, hogy az adatok védelmének egyetlen biztos módja, a fejlett helyesírás-ellenőrző programok ideiglenes letiltása vagy teljes eltávolítása a böngészőből.
Legalábbis addig, amíg valamelyik érintett vállalat felülvizsgálja adatvédelmi irányelveit, és miközben elmagyarázzák, hogy miért nem hibáztak és a kutatók miért értik félre ezeknek a böngészőfunkcióknak a működését, elvégzik a szükséges biztonsági módosításokat.