O Google Chrome e o Microsoft Edge oferecem um recurso de verificação ortográfica aprimorado que detecta e corrige automaticamente palavras com erros ortográficos. Embora o recurso possa parecer útil e conveniente, pesquisas recentes demonstram que ele pode representar sérios riscos à privacidade.

Quando ativados manualmente, tanto a Verificação ortográfica aprimorada do Chrome quanto o Editor da Microsoft enviam seus dados de formulário de volta para suas empresas-mãe, basicamente fazendo o soletramento dos dados.

O que é Spell-Jacking?

Spell-jacking refere-se à exposição de Informações Pessoais Identificáveis ​​(PII) por meio de Recurso de verificação ortográfica aprimorada no Chrome e Editor da Microsoft.

Pesquisa da empresa de segurança JavaScript otto-js descobriu que todos os dados inseridos em qualquer campo de formulário foram transmitidos para servidores de terceiros do Google e da Microsoft quando o recurso de verificação ortográfica aprimorada foi ativado.

Dependendo dos sites que você visita, as informações vazadas podem incluir nome de usuário, senha, endereço, data de nascimento, número do seguro social (SSN), informações bancárias e de pagamento e muito mais.

instagram viewer

Embora ambos os recursos estejam desativados por padrão, é preocupante a facilidade de habilitá-los e a maioria dos usuários os habilita sem perceber o que está acontecendo em segundo plano.

Quem está em risco?

otto-js identificou os cinco principais serviços online que correm risco com essa falha de segurança. Eles incluem o serviço de nuvem do Alibaba, Office 365, AWS Secret Manager, Google Cloud Secret Manager e LastPass. Tanto a AWS quanto o LastPass supostamente atenuaram o problema, enquanto o Google o abordou para alguns de seus serviços.

No entanto, não são apenas os usuários corporativos que estão em risco. otto-js testou mais de 50 sites que as pessoas usam com frequência e que têm acesso a informações confidenciais. Ele dividiu 30 desses sites em seis categorias e selecionou os cinco principais sites por categoria para criar uma referência da frequência e intensidade da exposição. As seis categorias incluem:

  1. Acesso a operações bancárias via Internet
  2. Assistência médica
  3. Ferramentas de escritório em nuvem
  4. Governo
  5. Mídia social
  6. Comércio eletrônico

No grupo de controle de 30 sites testados, a otto-js descobriu que cerca de 97% enviaram dados confidenciais do usuário de volta ao Google e à Microsoft quando os recursos de verificação ortográfica foram ativados.

Além disso, mais de 73% dos sites enviaram senhas para as empresas quando os usuários clicaram em "mostrar senha".

Crédito da imagem: otto-js

Isso apresenta uma preocupação de segurança significativa para credenciais corporativas e segurança do lado do cliente.

Como Mitigar Spell-Jacking

A melhor maneira de proteger suas credenciais de login é usando um gerenciador de senhas seguro, um bom programa antivírus, e criptografando seu tráfego com um VPN. No entanto, as práticas normais de segurança cibernética não são suficientes neste caso.

Uma forma de minimizar a exposição das empresas é incluir "spellcheck=false" nos campos de entrada que requerem informações pessoais. Isso bloqueará efetivamente esses campos das ferramentas de verificação ortográfica, o que significa que a verificação ortográfica será desativada para essas entradas.

Outra maneira pela qual as empresas podem mitigar o impacto do spell-jacking é desativando o recurso "mostrar senha" para os usuários. Isso não impedirá o roubo de feitiços, mas impedirá que as senhas dos usuários sejam enviadas.

As empresas também podem implementar soluções de segurança de endpoint que podem desabilitar recursos de verificação ortográfica e impedir que seus funcionários instalem extensões de navegador comprometidas.

Para usuários individuais, veja como você pode desativar o recurso de verificação ortográfica aprimorada nos navegadores Chrome e Edge:

Google Chrome

A maneira mais fácil de impedir que seus dados pessoais sejam enviados ao Google é removendo o recurso de verificação ortográfica aprimorada por enquanto. Você pode desativar o recurso nas configurações do Chrome executando estas etapas:

  1. Clique no três pontos no canto superior direito do navegador e selecione Configurações.
  2. Role para baixo e clique Avançado para ver configurações adicionais.
  3. Selecione línguas nas opções que aparecem à esquerda da tela.
  4. Debaixo de Verificação Ortográfica seção, desmarque a Verificação ortográfica aprimorada opção.

Você também pode acessar a página simplesmente colando o seguinte link na barra de endereços do seu navegador e pressionando Enter:

cromada://settings/?search=Enhanced+Spell+Check

Microsoft borda

Para usuários do Microsoft Edge, o corretor ortográfico vem como um complemento do navegador. Para remova a extensão do seu navegador, clique com o botão direito do mouse no ícone da extensão e escolha "Remover do Microsoft Edge".

Se não conseguir encontrar o ícone na página inicial do seu navegador, você pode acessar a biblioteca de extensões e removê-lo de lá. Basta clicar em "Extensões" à direita da barra de endereço do navegador para encontrar as extensões. Selecione "Mais ações" ao lado da extensão que deseja remover e clique em "Remover do Microsoft Edge".

E é assim que você mantém seus dados pessoais seguros por enquanto.