Google Chrome och Microsoft Edge erbjuder båda en förbättrad stavningskontroll som automatiskt upptäcker och korrigerar felstavade ord. Även om funktionen kan verka användbar och bekväm, visar ny forskning att den kan utgöra allvarliga integritetsrisker.
När den är aktiverad manuellt skickar både Chromes Enhanced Spellcheck och Microsoft Editor dina formulärdata tillbaka till sina moderbolag, vilket i huvudsak stavningskontrollerar data.
Vad är spell-jacking?
Spell-jacking hänvisar till exponeringen av personlig identifierbar information (PII) genom Förbättrad stavningskontroll i Chrome och Microsoft Editor.
Forskning av JavaScript-säkerhetsföretaget otto-js upptäckte att all data som angavs i alla formulärfält överfördes till Googles och Microsofts tredjepartsservrar när den utökade stavningskontrollen aktiverades.
Beroende på vilka webbplatser du besöker kan den läckta informationen innehålla användarnamn, lösenord, adress, födelsedatum, personnummer (SSN), bank- och betalningsinformation med mera.
Även om båda funktionerna är avstängda som standard, handlar det om hur lätta dessa är att aktivera och de flesta användare aktiverar dem utan att inse vad som händer i bakgrunden.
Vem är i riskzonen?
otto-js identifierade de fem bästa onlinetjänsterna som är utsatta för detta säkerhetsbrist. De inkluderar Alibabas molntjänst, Office 365, AWS Secret Manager, Google Cloud Secret Manager och LastPass. Både AWS och LastPass har enligt uppgift mildrat problemet, medan Google har åtgärdat det för några av sina tjänster.
Det är dock inte bara företagsanvändare som är i fara. otto-js testade mer än 50 webbplatser som människor ofta använder och som har tillgång till känslig information. Den delade in 30 av dessa webbplatser i sex kategorier och valde ut de fem bästa webbplatserna per kategori för att skapa ett riktmärke för exponeringens frekvens och intensitet. De sex kategorierna inkluderar:
- Internet bank
- Sjukvård
- Cloud Office-verktyg
- Regering
- Sociala media
- E-handel
I kontrollgruppen med 30 testade webbplatser fann otto-js att cirka 97 procent skickade känslig användardata tillbaka till Google och Microsoft när stavningskontrollfunktionerna var aktiverade.
Dessutom skickade över 73 procent av webbplatserna lösenord till företagen när användare klickade på "visa lösenord".
Detta utgör ett betydande säkerhetsproblem för företagsuppgifter och säkerhet på klientsidan.
Hur man dämpar spell-jacking
Det bästa sättet att skydda dina inloggningsuppgifter är att använda en säker lösenordshanterare, ett bra antivirusprogram, och kryptera din trafik med en VPN. Det räcker dock inte med normala cybersäkerhetsmetoder i det här fallet.
Ett sätt att minimera exponeringen för företag är att inkludera "stavningskontroll=falskt" i inmatningsfält som kräver personlig information. Detta kommer effektivt att blockera dessa fält från stavningskontrollverktyg, vilket innebär att stavningskontroll kommer att inaktiveras för dessa poster.
Ett annat sätt som företag kan mildra effekterna av stavningskontroll är genom att inaktivera funktionen "visa lösenord" för användare. Detta kommer inte att stoppa spell-jacking, men det kommer att förhindra att användarnas lösenord skickas.
Företag kan också implementera slutpunktssäkerhetslösningar som kan inaktivera stavningskontrollfunktioner och förhindra deras anställda från att installera komprometterade webbläsartillägg.
För enskilda användare, så här kan du inaktivera den förbättrade stavningskontrollen i webbläsarna Chrome och Edge:
Google Chrome
Det enklaste sättet att skydda dina personuppgifter från att skickas till Google är genom att ta bort den förbättrade stavningskontrollen tills vidare. Du kan inaktivera funktionen i dina Chrome-inställningar genom att utföra dessa steg:
- Klicka på tre prickar i det övre högra hörnet av din webbläsare och välj inställningar.
- Scrolla ner och klicka Avancerad för att se ytterligare inställningar.
- Välj språk från alternativen som visas till vänster på skärmen.
- Under Stavnings kontroll avsnittet, avmarkera Förbättrad stavningskontroll alternativ.
Du kan också komma åt sidan genom att helt enkelt klistra in följande länk i webbläsarens adressfält och trycka på Retur:
krom://settings/?search=Enhanced+Spell+CheckMicrosoft Edge
För Microsoft Edge-användare kommer stavningskontrollen som ett webbläsartillägg. Till ta bort tillägget från din webbläsare, högerklicka på ikonen för tillägget och välj "Ta bort från Microsoft Edge."
Om du inte hittar ikonen på din webbläsares hemsida kan du gå till tilläggsbiblioteket och ta bort den därifrån. Klicka bara på "Tillägg" till höger om webbläsarens adressfält för att hitta tillägg. Välj "Fler åtgärder" bredvid tillägget du vill ta bort och klicka på "Ta bort från Microsoft Edge".
Och det är så du håller dina personuppgifter säkra tills vidare.
