Stavningskontrollfunktioner som finns i både Google Chrome och Microsoft Edge-webbläsare läcker känslig användarinformation – inklusive användarnamn, e-post och lösenord – till Google respektive Microsoft när människor fyller i formulär på populära webbplatser och molnbaserade företagsappar.
Problemet – kallat "spell-jacking" av forskare på klientsidans säkerhetsföretag Otto JavaScript Security (Otto-js) – kan avslöja personlig identifierbar information (PII) från några av de mest använda företagsapplikationerna, inklusive Alibaba, Amazon Web Services , Google Cloud, LastPass och Office 365, enligt ett blogginlägg publicerad 16 sept.
Otto-js medgrundare och CTO Josh Summit upptäckte läckan – som uppstår specifikt när Chromes Enhanced Spellcheck och Edges MS Editor är aktiverade i webbläsare –
samtidigt som man forskar om hur webbläsare läcker data i allmänhet.
Summit fann att dessa stavningskontrollfunktioner skickar data till Google och Microsoft som skrivs in i formulärfält – som användarnamn, e-post, födelsedatum och personnummer – när någon fyller i dessa formulär på webbplatser eller webbtjänster medan de använder webbläsarna , sa forskarna.
Chrome och Edge kommer också att läcka användarlösenord om funktionen "visa lösenord" klickas när någon anger ett lösenord på en webbplats eller tjänst och skickar dessa data till Google och Microsofts tredjepartsservrar, sa de.
Där integritetsrisken ligger
Otto-js forskare, som postat en video på YouTube demonstrerar hur läckaget uppstår, testade mer än 50 webbplatser som människor använder dagligen eller varje vecka som har tillgång till PII. De bröt upp 30 av dessa i en kontrollgrupp som spänner över sex kategorier – onlinebanker, molnkontorsverktyg, hälsovård, myndigheter, sociala medier och e-handel – och valda webbplatser för varje kategori baserat på topprankningen i varje bransch.
Av de 30 kontrollgruppwebbplatserna som testades skickade 96.7 % data med PII tillbaka till Google och Microsoft, medan 73 % skickade lösenord när "visa lösenord" klickades. Dessutom hade de som inte skickade lösenord faktiskt mildrat problemet; de saknade bara funktionen "visa lösenord", sa forskarna.
Av de webbplatser som forskarna undersökte är Google den enda som redan hade åtgärdat problemet för e-post och vissa tjänster. Otto-js fann att företagets webbtjänst Google Cloud Secret Manager fortfarande är sårbar.
Samtidigt var Auth0, en populär tjänst för enkel inloggning, inte i kontrollgruppen som forskarna hade undersökt utan var den enda webbplatsen förutom Google som hade åtgärdat problemet korrekt, sa de.
Googles förbättrade stavningskontrollfunktion, som kräver en opt-in från användaren, hanterar uppgifterna på ett anonymiserat sätt, enligt en talesman för Google.
"Texten som användaren skriver kan vara känslig personlig information och Google bifogar den inte till någon användaridentitet och behandlar den bara tillfälligt på servern", säger han till Dark Reading. "För att ytterligare säkerställa användarnas integritet kommer vi att arbeta med att utesluta lösenord proaktivt från stavningskontrollen. Vi uppskattar samarbetet med säkerhetsgemenskapen och vi letar alltid efter sätt att bättre skydda användarnas integritet och känslig information.”
Användare av ett antal molnbaserade företagsapplikationer är också i riskzonen när de anger formulär när de använder apparna på Chrome och Edge om stavningskontrollfunktionerna är aktiverade. Av de ovan nämnda tjänsterna svarade säkerhetsteam från Amazon Web Services (AWS) och LastPass på Otto-js och har redan åtgärdat problemet, sa forskarna.
Vart tar data vägen?
En stor fråga som uppstår är vad som händer med datan när den väl har tagits emot av Google och Microsoft, vilket forskarna sa att de inte kan svara tydligt på.
Vid det här laget vet ingen om data lagras på den mottagande sidan eller, om så är fallet, vem som hanterar dess säkerhet, noterade forskarna. Det är inte heller klart om data hanteras med samma säkerhetsnivå som känd känslig data som lösenord, eller om den används av produktteam som metadata för att förfina modeller, sa de.
Hur som helst, forskare observerade att frågan återigen väcker oro för teknikföretag som Google och Microsoft har så mycket tillgång till känslig information om kunder, anställda och företag, särskilt när det kommer till lösenord.
"Lösenord är menade att vara en hemlighet som du delar med partiet du tänkt dig, och ingen annan", skrev de i inlägget. "En delad hemlighet ska vara hashad och oåterkallelig, men den här funktionen bryter mot en grundläggande säkerhetsprincip "need-to-know" och kan betraktas som en integritetskränkning. "
Lätt förbisedd fråga
Dessutom kan dataläckaget vara utbrett för användare eller företag av ett antal skäl, noterade forskarna. En är att eftersom webbläsarfunktionerna som exponerar data faktiskt är användbara för användarna, kommer de sannolikt att slås på och exponera data utan användarens vetskap.
"Det som är oroande är hur lätta dessa funktioner är att aktivera och att de flesta användare kommer att aktivera dessa funktioner utan att riktigt inse vad som händer i bakgrunden", säger Summit.
Lösenordsexponeringen uppstår också som en "oavsiktlig interaktion" mellan webbläsarens stavningskontroll och en webbplatsfunktion, vilket gör det till något som lätt kan flyga under radarn, konstaterar Walter Hoehn, vice vd för teknik på Otto-js
"De förbättrade stavningskontrollfunktionerna i Chrome och Edge erbjuder en betydande uppgradering jämfört med standardmetoderna för ordboksbaserade metoder", säger han. "På samma sätt är webbplatser som ger möjlighet att visa lösenord i klartext mer användbara, särskilt för personer med funktionshinder."
Väg för begränsning
Även om en webbplats eller tjänst inte har åtgärdat problemet från sin sida, kan företag minska risken att dela sina kunders PII in i formulär genom att lägga till "stavningskontroll=falskt" i alla inmatningsfält, även om detta kan skapa problem för användarna, säger forskare erkänd.
Alternativt kan företag bara lägga till kommandot endast för att bilda fält med känslig data för att ta bort risken, eller så kan de ta bort funktionen "visa lösenord" i sina formulär, sa de. Detta kommer inte att förhindra stavning, men det kommer att förhindra att lösenord skickas, sa forskarna.
Företag kan också minska intern exponering av företagsägda konton genom att implementera säkerhetsåtgärder för slutpunkter som inaktiverar förbättrade stavningskontrollfunktioner och begränsar anställda från att installera ogodkända webbläsartillägg, enligt Otto-JS.
Konsumenter kan minska sin egen risk att få sina data skickade till Microsoft och Google utan deras vetskap genom att gå in i deras webbläsare och inaktivera respektive stavningskontroll, tillade forskarna.
