Os navegadores oferecem diversos recursos que, muitas vezes, nem sabemos como realmente funcionam. Um deles é o sistema de verificação ortográfica que, em teoria, ajuda a corrigir erros de digitação. No entanto, uma empresa de segurança relatou que essa função no Google Chrome e Microsoft Edge pode enviar senhas e outras informações para os servidores de ambas as empresas.
Recurso do Edge e Chrome expõe dados sensíveis
A descoberta, feita pela equipe de pesquisa da Otto-JS, mostrou que o Microsoft Editor do Edge e a “Verificação ortográfica aprimorada” do Chrome conseguem ter acesso a dados inseridos em páginas de login, formulários ou em qualquer campo de texto que possa ser analisado por esses recursos de correção. Isso significa que, nomes, endereços de e-mail, datas de nascimento e números de documentos, por exemplo, podem chegar aos servidores.
Após testarem os scripts da funcionalidade, a empresa também descobriu que clicar no botão “mostrar senha”, presente em diversas páginas para exibir a senha digitada, também transmite a informação. Para exemplificar e destacar o dano que esses recursos podem causar, os pesquisadores fizeram login no site do Alibaba Cloud e perceberam que, apesar do Google e a Microsoft não terem ligação com esse serviço, os servidores de ambas as empresas receberam a senha da conta.
Segundo a Otto-JS, esse tipo de exploração, chamada de spelljacking, afeta especialmente a infraestrutura de serviços de nuvem e redes corporativas internas, representando um grave problema de privacidade e proteção de dados.
Felizmente, a empresa alertou alguns dos principais sites/serviços do mercado para aplicar as correções necessárias. LastPass e Amazon Web Services, por exemplo, já alteraram seus códigos para impedir que corretores tenham acesso a áreas de texto sensíveis. Office 365, Alibaba Cloud e Google Cloud Secret Manager também foram avisados, mas até o momento, não emitiram uma declaração sobre a correção.
Os pesquisadores testaram mais de 50 sites e dividiram 30 deles em seis categorias frequentemente usadas por várias pessoas, sendo elas: operações bancárias via internet, ferramentas de nuvem, assistência médica, governo, mídia social e comércio eletrônico. Das 30 páginas analisadas, 96,7% enviaram dados confidenciais aos servidores do Google e Microsoft, enquanto 73% transmitiram senhas ao clicar em “mostrar senha”.
Como bloquear o spelljacking
A Otto-JS recomenda que as empresas adicionem o comando “spellcheck=false” em todos os campos de texto (ou apenas em áreas com informações sensíveis) e removam o botão “mostrar senha”. Quanto aos usuários, o recurso do corretor ortográfico não vem ativado por padrão, mas caso você tenha habilitado-o em algum momento, acesse as configurações do navegador e siga as instruções abaixo para desativá-lo:
- No Chrome: clique em “Serviços do Google e de sincronização”, desça a página e desative a opção “Verificação ortográfica aprimorada”;
- No Edge: clique em “Idiomas” no menu lateral esquerdo e desative o Microsoft Editor na seção “Usar assistência de escrita”.
Veja também:
8 aplicativos de privacidade que vão aumentar a sua segurança online.