La compañía de seguridad otto-js.com descubrió que, tanto que Google Chrome como Microsoft Edge, transfieren datos confidenciales a través del corrector ortográfico Extendido de cada navegador y las encía a Google y Microsoft.
Los correctores ortográficos extendidos de los navegadores web de Google y Microsoft están basados en en la nube, las compañías aprovechan esto para enviar todas las entradas a los fabricantes a través de una API.
El corrector ortográfico mejorado de Chrome y el MS Editor de Edge envían los datos que ingresas en los campos del formulario, como nombre de usuario, correo electrónico, fecha de nacimiento, número de seguro social, básicamente lo que esté en los campos a los sitios web en los que inicias sesión con uno de estos navegadores de inicio de sesión cuando las funciones están habilitadas. Además, si hace clic en «Mostrar contraseña», el corrector ortográfico avanzado incluso enviará su contraseña, interceptando esencialmente sus datos.
Todos los datos que se ingresa en los formularios se envía a cada compañía, pueden ser datos simples como nombre de usuario y dirección; sin embargo, si en un formulario aparece la opción de mostrar un campo de contraseña en texto plano, esto también será transferido.
El corrector ortográfico extendido debe ser activado explícitamente por el usuario, y el usuario debe iniciar sesión en su cuenta de usuario para Google o Microsoft:
Algunos de los sitios web más grandes del mundo corren el riesgo de que Google y Microsoft envíen datos confidenciales de los usuarios, como nombres de usuario, correo electrónico y contraseñas, cuando los usuarios inician sesión o completan formularios. Un problema aún mayor para las empresas es el hecho de que esto pone en riesgo las credenciales de la empresa para los recursos internos, como las bases de datos y la infraestructura de la nube.
El equipo documentó un ejemplo con un inicio de sesión en el sitio web de Alibaba en su publicación de blog. La siguiente captura de pantalla muestra la entrada del usuario en el formulario de registro.
Luego, los investigadores de seguridad observaron los datos transmitidos y el código fuente de JavaScript. Puede ver en la siguiente captura de pantalla un extracto de los datos y el código fuente:
Microsoft, Google, Amazon, Alibaba y LastPass ya han sido contactados, Amazon y LastPass respondieron rápidamente y actualizaron sus sitios web en consecuencia.
Como solución, los usuarios de Chrome y Edge pueden desactivar el corrector ortográfico mejorado o eliminar el complemento de corrector ortográfico para Microsoft. (A través de BleepingComputer)
