La funzionalità di controllo ortografico avanzato di Chrome invia dati sensibili a Google. Lo stesso accade con l’estensione Microsoft Editor di Edge. Il problema di sicurezza è stato scoperto da Josh Summitt, co-fondatore e CTO di otto-js, effettuando vari test su alcuni siti che richiedono l’inserimento della password.
Controllo ortografico o spyware?
Edge e Chrome offrono un controllo ortografico di base, ma per ricevere suggerimenti migliori durante la scrittura è necessario attivare il controllo ortografico avanzato in Chrome e usare l’estensione Microsoft Editor in Edge. Questa funzionalità richiede l’invio a Google e Microsoft dei dati inseriti nella pagine web, ad esempio nome utente, password, indirizzo, data di nascita, informazioni di pagamento e altri.
Il problema di sicurezza è stato definito “spell-jacking” da Josh Summitt. Nel caso delle credenziali di login ciò avviene quando l’utente seleziona l’opzione “Mostra password“. Il test è stato effettuato su vari siti, tra cui Office 365, Alibaba Cloud Service, Google Cloud, AWS e LastPass.
L’invio dei dati a Google è chiaramente specificato nella guida. L’azienda di Mountain View ha promesso modifiche alla funzionalità per escludere le password. La soluzione può essere implementata anche dai siti web, come hanno già fatto AWS e LastPass. È sufficiente aggiungere l’attributo “spellcheck=false” al campo password per impedire il controllo ortografico e quindi l’invio a Google e Microsoft.
In alternativa è possibile disattivare il controllo ortografico avanzato in Chrome e rimuovere l’estensione Microsoft Editor da Edge. Si dovrebbe infine evitare la memorizzazione delle password o di altri dati sensibili nel browser. Meglio usare un password manager.
Ti potrebbe interessare
19 set 2022