A Google Chrome és a Microsoft Edge egyaránt továbbfejlesztett helyesírás-ellenőrző funkciót kínál, amely automatikusan észleli és kijavítja a hibásan írt szavakat. Bár a funkció hasznosnak és kényelmesnek tűnik, a legújabb kutatások azt mutatják, hogy komoly adatvédelmi kockázatokat jelenthet.
Ha manuálisan engedélyezve van, a Chrome Enhanced Helyesírás-ellenőrzése és a Microsoft Editor is visszaküldi az űrlapadatokat anyavállalataiknak, lényegében helyesírás-ellenőrzéssel.
Mi az a Spell-Jacking?
A spell-jacking személyazonosításra alkalmas adatok (PII) keresztül történő közzétételére utal Továbbfejlesztett helyesírás-ellenőrző funkció a Chrome-ban és Microsoft Editor.
A JavaScript biztonsági cég kutatása otto-js megállapította, hogy az űrlapmezőkbe beírt összes adatot továbbították a Google és a Microsoft harmadik fél szervereihez, amikor a továbbfejlesztett helyesírás-ellenőrzés funkciót engedélyezték.
Az Ön által meglátogatott webhelyektől függően a kiszivárgott információk tartalmazhatnak felhasználónevet, jelszót, címet, születési dátumot, társadalombiztosítási számot (SSN), banki és fizetési információkat stb.
Bár alapértelmezés szerint mindkét funkció ki van kapcsolva, az a kérdés, hogy mennyire könnyű ezeket engedélyezni, és a legtöbb felhasználó engedélyezi őket anélkül, hogy észrevenné, mi történik a háttérben.
Ki van veszélyben?
Az otto-js azonosította az öt legfontosabb online szolgáltatást, amelyet ez a biztonsági hiba veszélyeztet. Ide tartozik az Alibaba Cloud Service, az Office 365, az AWS Secret Manager, a Google Cloud Secret Manager és a LastPass. Állítólag az AWS és a LastPass is enyhítette a problémát, míg a Google egyes szolgáltatásainál foglalkozott vele.
Azonban nem csak a vállalati felhasználók vannak veszélyben. Az otto-js több mint 50 webhelyet tesztelt, amelyeket az emberek gyakran használnak, és amelyek érzékeny információkhoz férnek hozzá. E webhelyek közül 30-at hat kategóriába bontott, és kategóriánként kiválasztotta az öt legjobb webhelyet, hogy összemérje az expozíció gyakoriságát és intenzitását. A hat kategória a következőket tartalmazza:
- Online bankolás
- Egészségügy
- Cloud Office Tools
- Kormány
- Közösségi média
- E-kereskedelem
A 30 tesztelt webhelyből álló kontrollcsoportban az otto-js azt találta, hogy körülbelül 97 százalékuk érzékeny felhasználói adatokat küldött vissza a Google-nak és a Microsoftnak, amikor a helyesírás-ellenőrző funkciókat engedélyezték.
Ezenkívül a webhelyek több mint 73 százaléka jelszavakat küldött a vállalatoknak, amikor a felhasználók a „jelszó megjelenítése” gombra kattintottak.
Ez jelentős biztonsági aggályt jelent a vállalati hitelesítő adatok és az ügyféloldali biztonság szempontjából.
Hogyan lehet enyhíteni a varázslat-javítást
A bejelentkezési adatok védelmének legjobb módja az a biztonságos jelszókezelő, egy jó vírusirtó program, és a forgalom titkosítása a VPN. A szokásos kiberbiztonsági gyakorlat azonban ebben az esetben nem elegendő.
A vállalatok expozíciójának minimalizálásának egyik módja az, hogy a „spellcheck=false” kifejezést beírja a személyes adatokat igénylő beviteli mezőkbe. Ez gyakorlatilag blokkolja ezeket a mezőket a helyesírás-ellenőrző eszközökben, ami azt jelenti, hogy a helyesírás-ellenőrzés le lesz tiltva ezeknél a bejegyzéseknél.
A vállalatok egy másik módja annak, hogy enyhítsék a varázslat-feltörés hatását, ha letiltják a "jelszó megjelenítése" funkciót a felhasználók számára. Ez nem akadályozza meg a varázslat-javítást, de megakadályozza a felhasználók jelszavainak elküldését.
A vállalatok olyan végponti biztonsági megoldásokat is bevezethetnek, amelyek letilthatják a helyesírás-ellenőrzési funkciókat, és megakadályozhatják, hogy az alkalmazottak feltört böngészőbővítményeket telepítsenek.
Egyéni felhasználók számára a következőképpen tilthatja le a továbbfejlesztett helyesírás-ellenőrző funkciót a Chrome és az Edge böngészőkben:
Google Chrome
A legegyszerűbb módja annak, hogy megvédje személyes adatait a Google-nak való elküldéstől, ha egyelőre eltávolítja a továbbfejlesztett helyesírás-ellenőrző funkciót. A funkciót a következő lépések végrehajtásával tilthatja le a Chrome beállításaiban:
- Kattints a három pont a böngésző jobb felső sarkában, és válassza ki a lehetőséget Beállítások.
- Görgessen le, és kattintson Fejlett további beállítások megtekintéséhez.
- Válassza ki Nyelvek a képernyő bal oldalán megjelenő lehetőségek közül.
- Alatt Helyesírás-ellenőrzés részben törölje a pipát a Továbbfejlesztett helyesírás-ellenőrzés választási lehetőség.
Az oldalt úgy is elérheti, hogy egyszerűen beilleszti a következő hivatkozást a böngésző címsorába, és megnyomja az Enter billentyűt:
króm://settings/?search=Enhanced+Spell+Check
Microsoft Edge
A Microsoft Edge felhasználók számára a helyesírás-ellenőrző böngészőbővítményként érkezik. Nak nek távolítsa el a bővítményt a böngészőből, kattintson a jobb gombbal a bővítmény ikonjára, és válassza az „Eltávolítás a Microsoft Edge alkalmazásból” lehetőséget.
Ha nem találja az ikont böngészője kezdőlapján, lépjen a bővítmények könyvtárába, és távolítsa el onnan. Egyszerűen kattintson a "Bővítmények" lehetőségre a böngésző címsorától jobbra a bővítmények kereséséhez. Válassza a "További műveletek" lehetőséget az eltávolítani kívánt bővítmény mellett, majd kattintson az "Eltávolítás a Microsoft Edge alkalmazásból" gombra.
És így őrzi személyes adatait egyelőre biztonságban.