La técnica conocida como “spell-jacking”, es viable debido a que ambos navegadores tienen funciones de revisión ortográfica que envían datos a Microsoft y Google cuando los usuarios completan formularios para sitios o servicios web. Las funciones de corrección ortográfica presentes en dichos navegadores filtran información confidencial del usuario, incluido el nombre de usuario, el correo […]
La técnica conocida como “spell-jacking”, es viable debido a que ambos navegadores tienen funciones de revisión ortográfica que envían datos a Microsoft y Google cuando los usuarios completan formularios para sitios o servicios web.
Las funciones de corrección ortográfica presentes en dichos navegadores filtran información confidencial del usuario, incluido el nombre de usuario, el correo electrónico y las contraseñas, a Google y Microsoft respectivamente, cuando las personas completan formularios en sitios web y aplicaciones empresariales basadas en la nube.
El problema, denominado “spell-jacking”, puede exponer información de identificación personal (PII) de algunas de las aplicaciones empresariales más utilizadas, incluidas Alibaba, Amazon Web Services , Google Cloud, LastPass y Office 365.
La fuga ocurre específicamente cuando el corrector ortográfico mejorado de Chrome y el editor MS de Edge están habilitados en los navegadores.
En detalle, estos navegadores comparten los datos que se ingresan en los campos del formulario, como nombre de usuario, correo electrónico, fecha de nacimiento, número de seguro social, entre otros, cuando alguien completa estos formularios en sitios web o servicios web mientras usa los navegadores.
Esto también ocurre cuando un usuario utiliza la función ”mostrar contraseña” en el navegador.
En la investigación realizada, de los 30 sitios web del grupo de control probados, el 96,7% envió datos con PII a Google y Microsoft, mientras que el 73% envió contraseñas cuando se hizo clic en “mostrar contraseña”. Además, los que no enviaron contraseñas en realidad no habían mitigado el problema; simplemente carecían de la función “mostrar contraseña”, dijeron los investigadores.
De los sitios web que investigaron los investigadores, Google es el único que ya había solucionado el problema del correo electrónico y algunos servicios. Sin embargo, Otto-js descubrió que el servicio Google Cloud Secret Manager sigue siendo vulnerable.
Mientras tanto, Auth0, un popular servicio de inicio de sesión único, no estaba en el grupo de control que los investigadores habían investigado, pero era el único sitio web además de Google que había mitigado correctamente el problema.
La función de revisión ortográfica mejorada de Google, que requiere la aceptación del usuario, maneja los datos de forma anónima, según un portavoz de Google.