A Google Chrome és a Microsoft Edge egyaránt továbbfejlesztett helyesírás-ellenőrző funkciót kínál, amely automatikusan észleli és kijavítja a hibásan írt szavakat. Bár a funkció hasznosnak és kényelmesnek tűnik, a legújabb kutatások azt mutatják, hogy komoly adatvédelmi kockázatokat jelenthet.

Ha manuálisan engedélyezve van, a Chrome Enhanced Helyesírás-ellenőrzése és a Microsoft Editor is visszaküldi az űrlapadatokat anyavállalataiknak, lényegében helyesírás-ellenőrzéssel.

Mi az a Spell-Jacking?

A spell-jacking személyazonosításra alkalmas adatok (PII) keresztül történő közzétételére utal Továbbfejlesztett helyesírás-ellenőrző funkció a Chrome-ban és Microsoft Editor.

A JavaScript biztonsági cég kutatása otto-js megállapította, hogy az űrlapmezőkbe beírt összes adatot továbbították a Google és a Microsoft harmadik fél szervereihez, amikor a továbbfejlesztett helyesírás-ellenőrzés funkciót engedélyezték.

Az Ön által meglátogatott webhelyektől függően a kiszivárgott információk tartalmazhatnak felhasználónevet, jelszót, címet, születési dátumot, társadalombiztosítási számot (SSN), banki és fizetési információkat stb.

instagram viewer

Bár alapértelmezés szerint mindkét funkció ki van kapcsolva, az a kérdés, hogy mennyire könnyű ezeket engedélyezni, és a legtöbb felhasználó engedélyezi őket anélkül, hogy észrevenné, mi történik a háttérben.

Ki van veszélyben?

Az otto-js azonosította az öt legfontosabb online szolgáltatást, amelyet ez a biztonsági hiba veszélyeztet. Ide tartozik az Alibaba Cloud Service, az Office 365, az AWS Secret Manager, a Google Cloud Secret Manager és a LastPass. Állítólag az AWS és a LastPass is enyhítette a problémát, míg a Google egyes szolgáltatásainál foglalkozott vele.

Azonban nem csak a vállalati felhasználók vannak veszélyben. Az otto-js több mint 50 webhelyet tesztelt, amelyeket az emberek gyakran használnak, és amelyek érzékeny információkhoz férnek hozzá. E webhelyek közül 30-at hat kategóriába bontott, és kategóriánként kiválasztotta az öt legjobb webhelyet, hogy összemérje az expozíció gyakoriságát és intenzitását. A hat kategória a következőket tartalmazza:

  1. Online bankolás
  2. Egészségügy
  3. Cloud Office Tools
  4. Kormány
  5. Közösségi média
  6. E-kereskedelem

A 30 tesztelt webhelyből álló kontrollcsoportban az otto-js azt találta, hogy körülbelül 97 százalékuk érzékeny felhasználói adatokat küldött vissza a Google-nak és a Microsoftnak, amikor a helyesírás-ellenőrző funkciókat engedélyezték.

Ezenkívül a webhelyek több mint 73 százaléka jelszavakat küldött a vállalatoknak, amikor a felhasználók a „jelszó megjelenítése” gombra kattintottak.

Kép jóváírása: otto-js

Ez jelentős biztonsági aggályt jelent a vállalati hitelesítő adatok és az ügyféloldali biztonság szempontjából.

Hogyan lehet enyhíteni a varázslat-javítást

A bejelentkezési adatok védelmének legjobb módja az a biztonságos jelszókezelő, egy jó vírusirtó program, és a forgalom titkosítása a VPN. A szokásos kiberbiztonsági gyakorlat azonban ebben az esetben nem elegendő.

A vállalatok expozíciójának minimalizálásának egyik módja az, hogy a „spellcheck=false” kifejezést beírja a személyes adatokat igénylő beviteli mezőkbe. Ez gyakorlatilag blokkolja ezeket a mezőket a helyesírás-ellenőrző eszközökben, ami azt jelenti, hogy a helyesírás-ellenőrzés le lesz tiltva ezeknél a bejegyzéseknél.

A vállalatok egy másik módja annak, hogy enyhítsék a varázslat-feltörés hatását, ha letiltják a "jelszó megjelenítése" funkciót a felhasználók számára. Ez nem akadályozza meg a varázslat-javítást, de megakadályozza a felhasználók jelszavainak elküldését.

A vállalatok olyan végponti biztonsági megoldásokat is bevezethetnek, amelyek letilthatják a helyesírás-ellenőrzési funkciókat, és megakadályozhatják, hogy az alkalmazottak feltört böngészőbővítményeket telepítsenek.

Egyéni felhasználók számára a következőképpen tilthatja le a továbbfejlesztett helyesírás-ellenőrző funkciót a Chrome és az Edge böngészőkben:

Google Chrome

A legegyszerűbb módja annak, hogy megvédje személyes adatait a Google-nak való elküldéstől, ha egyelőre eltávolítja a továbbfejlesztett helyesírás-ellenőrző funkciót. A funkciót a következő lépések végrehajtásával tilthatja le a Chrome beállításaiban:

  1. Kattints a három pont a böngésző jobb felső sarkában, és válassza ki a lehetőséget Beállítások.
  2. Görgessen le, és kattintson Fejlett további beállítások megtekintéséhez.
  3. Válassza ki Nyelvek a képernyő bal oldalán megjelenő lehetőségek közül.
  4. Alatt Helyesírás-ellenőrzés részben törölje a pipát a Továbbfejlesztett helyesírás-ellenőrzés választási lehetőség.

Az oldalt úgy is elérheti, hogy egyszerűen beilleszti a következő hivatkozást a böngésző címsorába, és megnyomja az Enter billentyűt:

króm://settings/?search=Enhanced+Spell+Check

Microsoft Edge

A Microsoft Edge felhasználók számára a helyesírás-ellenőrző böngészőbővítményként érkezik. Nak nek távolítsa el a bővítményt a böngészőből, kattintson a jobb gombbal a bővítmény ikonjára, és válassza az „Eltávolítás a Microsoft Edge alkalmazásból” lehetőséget.

Ha nem találja az ikont böngészője kezdőlapján, lépjen a bővítmények könyvtárába, és távolítsa el onnan. Egyszerűen kattintson a "Bővítmények" lehetőségre a böngésző címsorától jobbra a bővítmények kereséséhez. Válassza a "További műveletek" lehetőséget az eltávolítani kívánt bővítmény mellett, majd kattintson az "Eltávolítás a Microsoft Edge alkalmazásból" gombra.

És így őrzi személyes adatait egyelőre biztonságban.