Google chrome e microsoft edge

Corretor ortográfico do Chrome e Edge pode roubar senhas

Avatar de wagner pedro
Empresa de segurança constatou que recurso presente no corretor do Chrome e Edge envia dados sensíveis aos servidores do Google e Microsoft

Os navegadores oferecem diversos recursos que, muitas vezes, nem sabemos como realmente funcionam. Um deles é o sistema de verificação ortográfica que, em teoria, ajuda a corrigir erros de digitação. No entanto, uma empresa de segurança relatou que essa função no Google Chrome e Microsoft Edge pode enviar senhas e outras informações para os servidores de ambas as empresas.

Recurso do Edge e Chrome expõe dados sensíveis

A descoberta, feita pela equipe de pesquisa da Otto-JS, mostrou que o Microsoft Editor do Edge e a “Verificação ortográfica aprimorada” do Chrome conseguem ter acesso a dados inseridos em páginas de login, formulários ou em qualquer campo de texto que possa ser analisado por esses recursos de correção. Isso significa que, nomes, endereços de e-mail, datas de nascimento e números de documentos, por exemplo, podem chegar aos servidores.

Após testarem os scripts da funcionalidade, a empresa também descobriu que clicar no botão “mostrar senha”, presente em diversas páginas para exibir a senha digitada, também transmite a informação. Para exemplificar e destacar o dano que esses recursos podem causar, os pesquisadores fizeram login no site do Alibaba Cloud e perceberam que, apesar do Google e a Microsoft não terem ligação com esse serviço, os servidores de ambas as empresas receberam a senha da conta.

Spelljacking na página do alibaba cloud
Spelljacking na página do Alibaba Cloud (Imagem: Otto-JS)

Segundo a Otto-JS, esse tipo de exploração, chamada de spelljacking, afeta especialmente a infraestrutura de serviços de nuvem e redes corporativas internas, representando um grave problema de privacidade e proteção de dados.

Felizmente, a empresa alertou alguns dos principais sites/serviços do mercado para aplicar as correções necessárias. LastPass e Amazon Web Services, por exemplo, já alteraram seus códigos para impedir que corretores tenham acesso a áreas de texto sensíveis. Office 365, Alibaba Cloud e Google Cloud Secret Manager também foram avisados, mas até o momento, não emitiram uma declaração sobre a correção.

Funcionamento do spelljacking em um formulário

Os pesquisadores testaram mais de 50 sites e dividiram 30 deles em seis categorias frequentemente usadas por várias pessoas, sendo elas: operações bancárias via internet, ferramentas de nuvem, assistência médica, governo, mídia social e comércio eletrônico. Das 30 páginas analisadas, 96,7% enviaram dados confidenciais aos servidores do Google e Microsoft, enquanto 73% transmitiram senhas ao clicar em “mostrar senha”.

Como bloquear o spelljacking

A Otto-JS recomenda que as empresas adicionem o comando “spellcheck=false” em todos os campos de texto (ou apenas em áreas com informações sensíveis) e removam o botão “mostrar senha”. Quanto aos usuários, o recurso do corretor ortográfico não vem ativado por padrão, mas caso você tenha habilitado-o em algum momento, acesse as configurações do navegador e siga as instruções abaixo para desativá-lo:

  • No Chrome: clique em “Serviços do Google e de sincronização”, desça a página e desative a opção “Verificação ortográfica aprimorada”;
  • No Edge: clique em “Idiomas” no menu lateral esquerdo e desative o Microsoft Editor na seção “Usar assistência de escrita”.

Veja também:

8 aplicativos de privacidade que vão aumentar a sua segurança online.

Fontes: GizChina, Otto-Js.


Descubra mais sobre Showmetech

Assine para receber nossas notícias mais recentes por e-mail.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Posts Relacionados