Google и Microsoft получают пароли и персональные данные пользователей через расширенную проверку правописания
Эксперты исследовательской команды otto-js выяснили, что Google и Microsoft (в Microsoft Editor Spelling и Grammar Checker) передают с клиентского устройства и получают на своих серверах пароли и персональные данные пользователей через облачный механизм системы расширенной проверки правописания. Это происходит, например, когда пользователь после набора пароля нажимает в окне браузера (Chrome или Edge) или системном меню приложения кнопку «показать пароль». Система проверяет этот пароль на правописание и отсылает на сервера разработчиков.
По умолчанию Chrome, Edge и офисные облачные редакторы текста Google и Microsoft поставляются с включёнными базовыми средствами проверки правописания. Пользователи могут в них активировать вручную режим расширенной проверки правописания, которая, как показали исследования otto-js, представляет потенциальную угрозу конфиденциальности личных данных и паролей.
В этом случае, в зависимости от веб-сайта, который посещает пользователь, введённые им данные в формы регистрации, включая, помимо прочего, ФИО, номера социального страхования, адрес проживания, адрес электронной почты, дату рождения, контактную информацию, банковскую и платёжную информацию, могут напрямую передаваться в Google и Microsoft для проверки правописания.
Эксперты otto-js, обнаружившие эту проблему, уточнили, что «практически все», введённое в поля форм браузеров Chrome или Edge, передавалось в Google и Microsoft.
«Более того, если вы нажмёте «показать пароль», то расширенная проверка правописания даже отправит ваш пароль, по сути, исправив ваши данные», — пояснили в otto-js. Это работает и в среде для корпоративных пользователей Chrome или Edge, например, с ресурсов Google Cloud (Secret Manager), AWS (Secrets Manager), Facebook, Office 365, Alibaba Cloud и LastPass.
Пример того, как при включённой опции расширенная проверка правописания пользователь нажал функцию «показать пароль», а поля этой формы, включая имя пользователя и пароль, передаются в Google на googleapis.com.
На сайте Google указано, что при расширенной проверке правописания текст, который пользователь вводит в браузере, отправляется в Google для улучшения работы этой функции.
Эксперты пояснили, что для безопасности данных пользователей нужно или отключить где это возможно опцию проверки правописания (spellcheck=false) или проверять, что у пользователей не активирована расширенная проверка правописания.
Журналисты Bleeping Сomputer связались с Google по этому инциденту и получили ответ от компании.
«Текст, введённый пользователем в этом случае, может быть конфиденциальной личной информацией, но Google не привязывает его к какой-либо личности пользователя, а только временно обрабатывает на своих серверах. Чтобы ещё больше обеспечить конфиденциальность пользователей, мы будем работать над тем, чтобы заблаговременно исключить пароли из проверки правописания», — пояснили в Google, но не раскрыли, когда это будет реализовано и как долго эта проблема была активна изначально.
Издание Bleeping Computer также связалось с Microsoft с вопросом по этом проблеме. Компания пояснила, что этот инцидент рассматривается, но без конкретного ответа, что разработчики собираются предпринять, чтобы заблокировать передачу паролей и персональных данных пользователей в этом случае.
