Το Google Chrome και το Microsoft Edge προσφέρουν μια βελτιωμένη δυνατότητα ορθογραφικού ελέγχου που εντοπίζει αυτόματα και διορθώνει λέξεις που έχουν γραφτεί σωστά. Αν και το χαρακτηριστικό μπορεί να φαίνεται χρήσιμο και βολικό, πρόσφατη έρευνα δείχνει ότι μπορεί να εγκυμονεί σοβαρούς κινδύνους για το απόρρητο.
Όταν ενεργοποιηθεί με μη αυτόματο τρόπο, τόσο ο Βελτιωμένος ορθογραφικός έλεγχος του Chrome όσο και ο Microsoft Editor στέλνουν τα δεδομένα της φόρμας σας πίσω στις μητρικές τους εταιρείες, ουσιαστικά με ορθογραφικό έλεγχο των δεδομένων.
Τι είναι το Spell-Jacking;
Το spell-jacking αναφέρεται στην έκθεση Προσωπικών Πληροφοριών Αναγνώρισης (PII) μέσω Βελτιωμένη δυνατότητα ορθογραφικού ελέγχου στο Chrome και Microsoft Editor.
Έρευνα από την εταιρεία ασφάλειας JavaScript otto-js διαπιστώθηκε ότι όλα τα δεδομένα που εισήχθησαν σε οποιοδήποτε πεδίο φόρμας μεταδόθηκαν σε διακομιστές τρίτων της Google και της Microsoft όταν ενεργοποιήθηκε η βελτιωμένη δυνατότητα ορθογραφικού ελέγχου.
Ανάλογα με τους ιστότοπους που επισκέπτεστε, οι πληροφορίες που διέρρευσαν μπορεί να περιλαμβάνουν όνομα χρήστη, κωδικό πρόσβασης, διεύθυνση, ημερομηνία γέννησης, αριθμό κοινωνικής ασφάλισης (SSN), τραπεζικά στοιχεία και στοιχεία πληρωμής και άλλα.
Ενώ και οι δύο λειτουργίες είναι απενεργοποιημένες από προεπιλογή, έχει να κάνει με το πόσο εύκολο είναι να τις ενεργοποιήσετε και οι περισσότεροι χρήστες τις ενεργοποιούν χωρίς να συνειδητοποιούν τι συμβαίνει στο παρασκήνιο.
Ποιος κινδυνεύει;
Η otto-js εντόπισε τις πέντε κορυφαίες διαδικτυακές υπηρεσίες που κινδυνεύουν από αυτό το ελάττωμα ασφαλείας. Περιλαμβάνουν την υπηρεσία Cloud της Alibaba, το Office 365, το AWS Secret Manager, το Google Cloud Secret Manager και το LastPass. Τόσο το AWS όσο και το LastPass φέρεται να μετριάζουν το πρόβλημα, ενώ η Google το έχει αντιμετωπίσει για ορισμένες από τις υπηρεσίες της.
Ωστόσο, δεν κινδυνεύουν μόνο οι εταιρικοί χρήστες. Η otto-js εξέτασε περισσότερους από 50 ιστότοπους που χρησιμοποιούν συχνά οι άνθρωποι και οι οποίοι έχουν πρόσβαση σε ευαίσθητες πληροφορίες. Έσπασε 30 από αυτούς τους ιστότοπους σε έξι κατηγορίες και επέλεξε τους πέντε κορυφαίους ιστότοπους ανά κατηγορία για να δημιουργήσει ένα σημείο αναφοράς για τη συχνότητα και την ένταση της έκθεσης. Οι έξι κατηγορίες περιλαμβάνουν:
- Online Banking
- Φροντίδα υγείας
- Cloud Office Tools
- Κυβέρνηση
- Μεσα ΚΟΙΝΩΝΙΚΗΣ ΔΙΚΤΥΩΣΗΣ
- ΗΛΕΚΤΡΟΝΙΚΟ ΕΜΠΟΡΙΟ
Στην ομάδα ελέγχου των 30 ιστοτόπων που δοκιμάστηκαν, η otto-js διαπίστωσε ότι περίπου το 97 τοις εκατό έστειλε ευαίσθητα δεδομένα χρήστη πίσω στην Google και τη Microsoft όταν ενεργοποιήθηκαν οι λειτουργίες ορθογραφικού ελέγχου.
Επιπλέον, πάνω από το 73 τοις εκατό των ιστότοπων έστειλαν κωδικούς πρόσβασης στις εταιρείες όταν οι χρήστες έκαναν κλικ στην "εμφάνιση κωδικού πρόσβασης".
Αυτό αποτελεί σημαντική ανησυχία για την ασφάλεια των εταιρικών διαπιστευτηρίων και της ασφάλειας από την πλευρά του πελάτη.
Πώς να μετριαστείτε το spell-jacking
Ο καλύτερος τρόπος για να προστατεύσετε τα διαπιστευτήρια σύνδεσής σας είναι χρησιμοποιώντας ένα ασφαλής διαχειριστής κωδικών πρόσβασης, ένα καλό πρόγραμμα προστασίας από ιούς, και κρυπτογράφηση της επισκεψιμότητάς σας με α VPN. Ωστόσο, οι συνήθεις πρακτικές κυβερνοασφάλειας δεν αρκούν σε αυτή την περίπτωση.
Ένας τρόπος για να ελαχιστοποιήσετε την έκθεση για τις εταιρείες είναι να συμπεριλάβετε το "spellcheck=false" στα πεδία εισαγωγής που απαιτούν προσωπικές πληροφορίες. Αυτό θα αποκλείσει αποτελεσματικά αυτά τα πεδία από τα εργαλεία ορθογραφικού ελέγχου, που σημαίνει ότι ο ορθογραφικός έλεγχος θα απενεργοποιηθεί για αυτές τις καταχωρίσεις.
Ένας άλλος τρόπος με τον οποίο οι εταιρείες μπορούν να μετριάσουν τον αντίκτυπο του spell-jacking είναι η απενεργοποίηση της λειτουργίας "εμφάνιση κωδικού πρόσβασης" για τους χρήστες. Αυτό δεν θα σταματήσει την ορθογραφία, αλλά θα αποτρέψει την αποστολή των κωδικών πρόσβασης των χρηστών.
Οι εταιρείες μπορούν επίσης να εφαρμόσουν λύσεις ασφάλειας τελικού σημείου που μπορούν να απενεργοποιήσουν τις λειτουργίες ορθογραφικού ελέγχου και να εμποδίσουν τους υπαλλήλους τους να εγκαταστήσουν παραβιασμένες επεκτάσεις προγράμματος περιήγησης.
Για μεμονωμένους χρήστες, δείτε πώς μπορείτε να απενεργοποιήσετε τη δυνατότητα βελτιωμένου ορθογραφικού ελέγχου στα προγράμματα περιήγησης Chrome και Edge:
Google Chrome
Ο ευκολότερος τρόπος για να προστατεύσετε τα προσωπικά σας δεδομένα από την αποστολή στην Google είναι η κατάργηση της βελτιωμένης λειτουργίας ορθογραφικού ελέγχου προς το παρόν. Μπορείτε να απενεργοποιήσετε τη λειτουργία στις ρυθμίσεις του Chrome, ακολουθώντας τα εξής βήματα:
- Κάντε κλικ στο τρεις τελείες στην επάνω δεξιά γωνία του προγράμματος περιήγησής σας και επιλέξτε Ρυθμίσεις.
- Κάντε κύλιση προς τα κάτω και κάντε κλικ Προχωρημένος για να δείτε πρόσθετες ρυθμίσεις.
- Επιλέγω Γλώσσες από τις επιλογές που εμφανίζονται στα αριστερά της οθόνης.
- Σύμφωνα με το Ορθογραφικός έλεγχος ενότητα, αποεπιλέξτε το Ενισχυμένος ορθογραφικός έλεγχος επιλογή.
Μπορείτε επίσης να αποκτήσετε πρόσβαση στη σελίδα επικολλώντας απλώς τον ακόλουθο σύνδεσμο στη γραμμή διευθύνσεων του προγράμματος περιήγησής σας και πατώντας Enter:
χρώμιο://settings/?search=Enhanced+Spell+CheckMicrosoft Edge
Για τους χρήστες του Microsoft Edge, ο ορθογραφικός έλεγχος παρέχεται ως πρόσθετο προγράμματος περιήγησης. Προς την αφαιρέστε την επέκταση από το πρόγραμμα περιήγησής σας, κάντε δεξί κλικ στο εικονίδιο της επέκτασης και επιλέξτε "Κατάργηση από τον Microsoft Edge".
Εάν δεν μπορείτε να βρείτε το εικονίδιο στην αρχική σελίδα του προγράμματος περιήγησής σας, μπορείτε να μεταβείτε στη βιβλιοθήκη επεκτάσεων και να το αφαιρέσετε από εκεί. Απλώς κάντε κλικ στο "Επεκτάσεις" στα δεξιά της γραμμής διευθύνσεων του προγράμματος περιήγησης για να βρείτε επεκτάσεις. Επιλέξτε "Περισσότερες ενέργειες" δίπλα στην επέκταση που θέλετε να καταργήσετε και κάντε κλικ στο "Κατάργηση από το Microsoft Edge".
Και έτσι διατηρείτε τα προσωπικά σας δεδομένα ασφαλή προς το παρόν.