A Chrome és az Edge fejlett helyesírás-ellenõrzõ funkciói kiszivárogtatják érzékeny adatainkat

Az irodai munka során nagy segítséget nyújthat, ha begépelt szövegeinket több helyesírás-ellenõrzõn is átfuttatjuk. Hiába az alaposság, mindig maradhatnak olyan hibák, melyek sokadik átnézés után sem fedik fel magukat a szerzõ elõtt. Azonban nemrég a Google Chrome és a Microsoft Edge böngészõkhöz hozzáadott néhány fejlett helyesírás-ellenõrzési funkcióról kiderült, hogy mellékesen érzékeny információkat szivárogtatnak vissza az anyavállalatoknak.

Az otto-js nevû JavaScript biztonsági cég elemzése szerint a legtöbb felhasználó olyan funkciókat engedélyez, amelyekrõl azt hiszi, hogy hasznosak a hatékonyabb munkateljesítmény szempontjából, ám úgy tûnik, hogy ezzel saját személyes adatait, például felhasználóneveket, e-maileket, jelszavakat és egyebeket szivárogtatnak ki a böngészõk mögött álló vállalatok számára. Alapértelmezés szerint mindkét böngészõ rendelkezik alapvetõ, beépített helyesírás-ellenõrzõ funkciókkal, amelyek nem továbbítanak adatokat a Google vagy a Microsoft felé. A Chrome "Fokozott helyesírás-ellenõrzés" és az Edge "Microsoft Editor" kizárólag opt-in kiegészítések, tehát a felhasználóknak kifejezetten engedélyezniük kell õket, és bár egyértelmûvé teszik, hogy az adatainkat mindkét vállalatnak visszaküldik a termékek fejlesztése érdekében, az már nem annyira nyilvánvaló, hogy ez tartalmazhatja a személyazonosításra alkalmas adatainkat is.

"A weblap legtöbb szöveges mezõjével együttmûködésben mindkét eszköz hozzáférhet "gyakorlatilag bármihez" - írja az otto-js. Ez azt jelenti, hogy minden online bevitt adat, beleértve a születési dátumot, a fizetési adatokat, a kapcsolattartási információkat és a bejelentkezési adatokat, visszakerülhet a Google és a Microsoft asztalára. A legtöbb weboldal, amely online letiltja a jelszavakat, elrejti ezeket a rendkívül érzékeny információkat a helyesírás-ellenõrzõ eszközök elõl, de amikor a felhasználó rákattint a szöveg feltárására (például azért, hogy ellenõrizze, helyesen írta-e be a szöveget), az információk késõbb nyilvánosságra kerülnek. A Bleeping Computer tech-portál jelentése szerint a Chrome segítségével megbizonyosodott a felhasználónevek továbbításáról az SSA.gov, a Bank of America és a Verizon felé, a jelszavak pedig a CNN és a Facebook elõtt is csak akkor kerültek felfedésre, amikor a "jelszó megjelenítése" vagy azzal egyenértékû gombra kattintottak.

Az otto Javascript Security egy rövid videóval is demonstrálja, hogy a helyesírás-ellenõrzõ miként továbbítja a Google felé a felfedett jelszót. A kitettség minimalizálásának egyik módja, hogy a webfejlesztõk "spellcheck=false" feliratot adnak minden olyan beviteli mezõhöz, amely bármiféle érzékeny adatokat igényelhet, így gyakorlatilag kizárják ezeket a mezõket a helyesírás-ellenõrzõ eszközökbõl, bár ez természetesen azt is jelenti, hogy a helyesírás-ellenõrzés ilyenkor ki lesz kapcsolva ezekben a bejegyzésekben. A felhasználó részérõl pedig nagyon úgy tûnik, hogy az adatok védelmének egyetlen biztos módja, a fejlett helyesírás-ellenõrzõ programok ideiglenes letiltása vagy teljes eltávolítása a böngészõbõl.

Legalábbis addig, amíg valamelyik érintett vállalat felülvizsgálja adatvédelmi irányelveit, és miközben elmagyarázzák, hogy miért nem hibáztak és a kutatók miért értik félre ezeknek a böngészõfunkcióknak a mûködését, elvégzik a szükséges biztonsági módosításokat.