Google Chrome in Microsoft Edge ponujata izboljšano funkcijo preverjanja črkovanja, ki samodejno zazna in popravi napačno črkovane besede. Čeprav se funkcija morda zdi uporabna in priročna, nedavne raziskave kažejo, da lahko predstavlja resno tveganje za zasebnost.
Ko sta ročno omogočena, Chromovo izboljšano preverjanje črkovanja in Microsoftov urejevalnik pošljeta vaše podatke obrazcev nazaj svojim matičnim podjetjem, kar v bistvu črkuje podatke.
Kaj je Spell-Jacking?
Črkovanje se nanaša na razkritje osebno določljivih podatkov (PII) prek Izboljšana funkcija preverjanja črkovanja v Chromu in Microsoft Editor.
Raziskava varnostnega podjetja JavaScript otto-js ugotovil, da so bili vsi podatki, vneseni v katero koli polje obrazca, poslani Googlovim in Microsoftovim strežnikom tretjih oseb, ko je bila omogočena izboljšana funkcija preverjanja črkovanja.
Odvisno od spletnih mest, ki jih obiščete, lahko razkriti podatki vključujejo uporabniško ime, geslo, naslov, datum rojstva, številko socialnega zavarovanja (SSN), podatke o banki in plačilu ter drugo.
Medtem ko sta obe funkciji privzeto izklopljeni, je zaskrbljujoče, kako enostavno ju je omogočiti in večina uporabnikov ju omogoči, ne da bi se zavedala, kaj se dogaja v ozadju.
Kdo je v nevarnosti?
otto-js je opredelil pet največjih spletnih storitev, ki so ogrožene zaradi te varnostne napake. Vključujejo Alibabino storitev v oblaku, Office 365, AWS Secret Manager, Google Cloud Secret Manager in LastPass. Tako AWS kot LastPass sta menda ublažila težavo, medtem ko jo je Google obravnaval za nekatere svoje storitve.
Vendar pa niso ogroženi samo poslovni uporabniki. otto-js je testiral več kot 50 spletnih mest, ki jih ljudje pogosto uporabljajo in imajo dostop do občutljivih informacij. 30 od teh spletnih mest je razdelil v šest kategorij in izbral pet najboljših spletnih mest na kategorijo, da bi ustvaril merilo pogostosti in intenzivnosti izpostavljenosti. Šest kategorij vključuje:
- Internetno bančništvo
- Skrb za zdravje
- Orodja za pisarno v oblaku
- Vlada
- Družbeni mediji
- E-trgovina
V kontrolni skupini 30 testiranih spletnih mest je otto-js ugotovil, da jih je približno 97 odstotkov poslalo občutljive uporabniške podatke nazaj Googlu in Microsoftu, ko so bile omogočene funkcije preverjanja črkovanja.
Poleg tega je več kot 73 odstotkov spletnih mest podjetjem poslalo gesla, ko so uporabniki kliknili »pokaži geslo«.
To predstavlja veliko varnostno skrb za poverilnice podjetja in varnost na strani odjemalca.
Kako ublažiti črkovanje
Najboljši način za zaščito vaših prijavnih poverilnic je uporaba a varen upravitelj gesel, dober protivirusni program, in šifriranje vašega prometa z a VPN. Vendar običajne prakse kibernetske varnosti v tem primeru niso dovolj.
Eden od načinov za zmanjšanje izpostavljenosti podjetij je vključitev "spellcheck=false" v vnosna polja, ki zahtevajo osebne podatke. To bo učinkovito blokiralo ta polja pred orodji za preverjanje črkovanja, kar pomeni, da bo preverjanje črkovanja za te vnose onemogočeno.
Drug način, kako lahko podjetja ublažijo vpliv črkovanja, je, da uporabnikom onemogočijo funkcijo »pokaži geslo«. To ne bo ustavilo črkovanja, vendar bo preprečilo pošiljanje gesel uporabnikov.
Podjetja lahko implementirajo tudi varnostne rešitve za končne točke, ki lahko onemogočijo funkcije preverjanja črkovanja in preprečijo njihovim zaposlenim namestitev ogroženih razširitev brskalnika.
Za posamezne uporabnike lahko tukaj onemogočite funkcijo izboljšanega preverjanja črkovanja v brskalnikih Chrome in Edge:
Google Chrome
Osebne podatke najlažje zaščitite pred pošiljanjem Googlu tako, da zaenkrat odstranite izboljšano funkcijo preverjanja črkovanja. Funkcijo lahko onemogočite v nastavitvah Chroma tako, da izvedete te korake:
- Kliknite na tri pike v zgornjem desnem kotu brskalnika in izberite nastavitve.
- Pomaknite se navzdol in kliknite Napredno za ogled dodatnih nastavitev.
- Izberite Jeziki iz možnosti, ki se prikažejo na levi strani zaslona.
- Pod Preverjanje črkovanja počistite polje Izboljšano preverjanje črkovanja možnost.
Do strani lahko dostopate tudi tako, da preprosto prilepite naslednjo povezavo v naslovno vrstico brskalnika in pritisnete Enter:
krom://settings/?search=Enhanced+Spell+Check
Microsoft Edge
Za uporabnike Microsoft Edge je črkovalnik na voljo kot dodatek za brskalnik. Za odstranite razširitev iz brskalnika, z desno tipko miške kliknite ikono razširitve in izberite »Odstrani iz Microsoft Edge«.
Če ikone ne najdete na domači strani brskalnika, lahko greste v knjižnico razširitev in jo od tam odstranite. Preprosto kliknite »Razširitve« na desni strani naslovne vrstice brskalnika, da poiščete razširitve. Izberite »Več dejanj« poleg razširitve, ki jo želite odstraniti, in kliknite »Odstrani iz Microsoft Edge«.
In tako zaenkrat ohranite svoje osebne podatke.