Google Chrome ve Microsoft Edge web tarayıcılarındaki genişletilmiş yazım denetimi özellikleri, kişisel olarak tanımlanabilir bilgiler (PII) ve bazı durumlarda şifreler dahil olmak üzere form verilerini sırasıyla Google ve Microsoft’a iletir.
Bu, bu web tarayıcılarının bilinen ve amaçlanan bir özelliği olsa da, iletimden sonra verilere ne olduğu ve özellikle şifre alanları söz konusu olduğunda uygulamanın ne kadar güvenli olabileceği konusunda endişelere yol açar.
Hem Chrome hem de Edge, temel yazım denetleyicileri etkinleştirilmiş olarak gönderilir. Ancak, Chrome’un Gelişmiş Yazım Denetimi veya Microsoft Düzenleyici, kullanıcı tarafından manuel olarak etkinleştirildiğinde, bu potansiyel gizlilik riskini sergiler.
Yazım denetimi: Bu, Big Tech’e PII gönderen yazım denetiminizdir
Chrome ve Edge gibi büyük web tarayıcılarını kullanırken, gelişmiş yazım denetimi özelliklerinin etkinleştirilmesi durumunda form verileriniz sırasıyla Google ve Microsoft’a iletilir.
Ziyaret ettiğiniz web sitesine bağlı olarak form verileri, Sosyal Güvenlik Numaraları (SSN’ler)/Sosyal Sigorta Numaraları (SIN’ler), ad, adres, e-posta, doğum tarihi (DOB), iletişim bilgileri dahil ancak bunlarla sınırlı olmamak üzere PII’yi içerebilir. banka ve ödeme bilgileri vb.
JavaScript güvenlik firması otto-js’nin kurucu ortağı ve CTO’su Josh Summitt, şirketinin komut dosyası davranışları algılamasını test ederken bu sorunu keşfetti.
Chrome Gelişmiş Yazım Denetimi veya Edge’in Microsoft Editör (yazım denetleyicisi) etkinleştirildi, bu tarayıcıların form alanlarına girilen “temelde her şey” Google ve Microsoft’a iletildi.
otto-js, “Ayrıca, ‘şifreyi göster’i tıklarsanız, gelişmiş yazım denetimi, parolanızı bile gönderir, esasen verilerinizi Yazım Kuralına Karşı Korur”, diye açıklıyor otto-js. Blog yazısı.
“Dünyanın en büyük web sitelerinden bazıları, kullanıcılar oturum açarken veya formları doldururken, kullanıcı adı, e-posta ve şifreler de dahil olmak üzere Google ve Microsoft’un hassas kullanıcı PII’lerini göndermeye maruz kalıyor. Şirketler için daha da önemli bir endişe, bunun ortaya çıkardığı risktir. şirketin veritabanları ve bulut altyapısı gibi dahili varlıklara yönelik kurumsal kimlik bilgilerine.”
Kullanıcılar, örneğin şifrelerin kopyalanıp yapıştırılmasına izin verilmeyen sitelerde veya şifreyi yanlış yazdıklarından şüphelendiklerinde genellikle “şifreyi göster” seçeneğine güvenebilirler.
Göstermek için, otto-js, Chrome web tarayıcısında Alibaba’nın Bulut platformuna kimlik bilgilerini giren bir kullanıcı örneğini paylaştı; ancak bu gösteri için herhangi bir web sitesi kullanılabilir.
Gelişmiş yazım denetimi etkinleştirildiğinde ve kullanıcının “şifreyi göster” özelliğine dokunduğu varsayılarak, kullanıcı adı ve şifreyi içeren form alanları Google’a şu adresten iletilir: googleapis.com.
Şirket tarafından bir video gösterimi de paylaşıldı:
BleepingComputer ayrıca, aşağıdakiler gibi büyük siteleri ziyaret etmek için Chrome kullanılarak yaptığımız testlerde kimlik bilgilerinin Google’a aktarıldığını gözlemledi:
- CNN—’şifreyi göster’ kullanılırken hem kullanıcı adı hem de şifre
- Facebook.com—’şifreyi göster’ kullanılırken hem kullanıcı adı hem de şifre
- SSA.gov (Sosyal Güvenlik Girişi)—yalnızca kullanıcı adı alanı
- Bank of America—yalnızca kullanıcı adı alanı
- Verizon—yalnızca kullanıcı adı alanı
Basit bir HTML çözümü: ‘spellcheck=false’
Form alanlarının aktarımı HTTPS üzerinden güvenli bir şekilde gerçekleşse de, bu örnekte, üçüncü tarafa ulaştığında kullanıcı verilerine ne olacağı hemen belli olmayabilir, Googlesunucusu.
” Gelişmiş yazım denetimi özelliği BleepingComputer’a onaylanan bir Google sözcüsü, kullanıcının katılımını gerektirir”. Bunun Chrome’da varsayılan olarak etkinleştirilen temel yazım denetleyicisinin aksine olduğunu ve Google’a veri aktarmadığını unutmayın.
Chrome tarayıcınızda Gelişmiş yazım denetiminin etkinleştirilip etkinleştirilmediğini incelemek için aşağıdaki bağlantıyı adres çubuğunuza kopyalayıp yapıştırın. Daha sonra açmayı veya kapatmayı seçebilirsiniz:
chrome://settings/?search=Gelişmiş+Yazım+Kontrol
Ekran görüntüsünden de anlaşılacağı gibi, özelliğin açıklamasında, Gelişmiş yazım denetimi etkinleştirildiğinde, “tarayıcıya yazdığınız metin Google“
“Kullanıcı tarafından yazılan metin hassas kişisel bilgiler olabilir ve Google bunu herhangi bir kullanıcı kimliğine eklemez ve yalnızca sunucuda geçici olarak işler. Kullanıcı gizliliğini daha da sağlamak için şifreleri proaktif olarak yazım denetiminden çıkarmak için çalışacağız.” Google, bizimle paylaştığı açıklamasına devam etti.
“Güvenlik topluluğuyla işbirliğini takdir ediyoruz ve her zaman kullanıcı gizliliğini ve hassas bilgileri daha iyi korumanın yollarını arıyoruz.”
Edge’e gelince, Microsoft Editor Yazım Denetimi ve Dilbilgisi Denetleyicisi bir tarayıcı eklentisi Bu davranışın gerçekleşmesi için açıkça yüklenmesi gerekir.
BleepingComputer Microsoft yayınlamadan önce çok önceden. Konunun incelendiği söylendi ancak henüz bir dönüş yapılmadı.
otto-js saldırı vektörünü “Spell-jacking” olarak adlandırdı ve Office 365, Alibaba Cloud, Google Cloud – Secret Manager, Amazon AWS – Secrets Manager ve LastPass gibi bulut hizmetleri kullanıcıları için endişelerini dile getirdi.
otto-js’nin raporuna tepki gösteren hem AWS hem de LastPass sorunu hafifletti. LastPass’ın durumunda, çözüme basit bir HTML özelliği eklenerek ulaşıldı yazım denetimi = “yanlış” şifre alanına:
Form metni giriş alanlarının dışında bırakıldığında ‘yazım denetimi’ HTML özelliği genellikle web tarayıcıları tarafından doğru olduğu varsayılır varsayılan olarak. ‘Yazım denetimi’ açıkça ayarlanmış bir giriş alanı yanlış bir web tarayıcısının yazım denetleyicisi aracılığıyla işlenmez.
otto-js, “Şirketler, tüm giriş alanlarına “spellcheck=false” ekleyerek müşterilerinin kişisel bilgilerini paylaşma riskini azaltabilir, ancak bu kullanıcılar için sorun yaratabilir,” diye açıklıyor otto-js, kullanıcılar artık bunu yapamayacak. Girilen metni yazım denetleyicisi aracılığıyla çalıştırmak için.
“Alternatif olarak, bunu yalnızca hassas veriler içeren form alanlarına ekleyebilirsiniz. Şirketler ayrıca ‘şifre gösterme’ özelliğini de kaldırabilir. Bu, hecelemeyi engellemez, ancak kullanıcı şifrelerinin gönderilmesini engeller.”
İronik olarak, Twitter’ın “şifreyi göster” seçeneğiyle gelen oturum açma formunun, parola alanının “yazım denetimi” HTML özniteliğinin açıkça true olarak ayarlandığını gözlemledik:
Ek bir koruma olarak, Chrome ve Edge kullanıcıları Gelişmiş Yazım Denetimini kapatabilir (yukarıda belirtilen adımları izleyerek) veya kaldır Microsoft Edge’den editör eklentisi her iki şirket de parolalar gibi hassas alanların işlenmesini hariç tutmak için genişletilmiş yazım denetleyicilerini revize edene kadar.