Recurso do Edge e Chrome expõe dados sensíveis
A descoberta, feita pela equipe de pesquisa da Otto-JS, mostrou que o Microsoft Editor do Edge e a “Verificação ortográfica aprimorada” do Chrome conseguem ter acesso a dados inseridos em páginas de login, formulários ou em qualquer campo de texto que possa ser analisado por esses recursos de correção. Isso significa que, nomes, endereços de e-mail, datas de nascimento e números de documentos, por exemplo, podem chegar aos servidores. Após testarem os scripts da funcionalidade, a empresa também descobriu que clicar no botão “mostrar senha”, presente em diversas páginas para exibir a senha digitada, também transmite a informação. Para exemplificar e destacar o dano que esses recursos podem causar, os pesquisadores fizeram login no site do Alibaba Cloud e perceberam que, apesar do Google e a Microsoft não terem ligação com esse serviço, os servidores de ambas as empresas receberam a senha da conta. Segundo a Otto-JS, esse tipo de exploração, chamada de spelljacking, afeta especialmente a infraestrutura de serviços de nuvem e redes corporativas internas, representando um grave problema de privacidade e proteção de dados. Os pesquisadores testaram mais de 50 sites e dividiram 30 deles em seis categorias frequentemente usadas por várias pessoas, sendo elas: operações bancárias via internet, ferramentas de nuvem, assistência médica, governo, mídia social e comércio eletrônico. Das 30 páginas analisadas, 96,7% enviaram dados confidenciais aos servidores do Google e Microsoft, enquanto 73% transmitiram senhas ao clicar em “mostrar senha”.
Como bloquear o spelljacking
A Otto-JS recomenda que as empresas adicionem o comando “spellcheck=false” em todos os campos de texto (ou apenas em áreas com informações sensíveis) e removam o botão “mostrar senha”. Quanto aos usuários, o recurso do corretor ortográfico não vem ativado por padrão, mas caso você tenha habilitado-o em algum momento, acesse as configurações do navegador e siga as instruções abaixo para desativá-lo:
No Chrome: clique em “Serviços do Google e de sincronização”, desça a página e desative a opção “Verificação ortográfica aprimorada”;No Edge: clique em “Idiomas” no menu lateral esquerdo e desative o Microsoft Editor na seção “Usar assistência de escrita”.
Veja também: 8 aplicativos de privacidade que vão aumentar a sua segurança online. Fontes: GizChina, Otto-Js.