Zaawansowane wtyczki sprawdzające pisownię w przeglądarce internetowej mogą ujawniać Twoje hasła

Niektóre rozszerzone funkcje sprawdzania pisowni dodane do przeglądarek internetowych Google Chrome i Microsoft Edge okazały się ujawniać poufne informacje z powrotem do ich firm macierzystych.

Analiza przeprowadzona przez firmę otto-js zajmującą się bezpieczeństwem JavaScript wykazała, że większość użytkowników włącza funkcje, które uważają za korzystne dla swojej produktywności, tylko po to, aby odkryć, że ujawniają one ich własne dane osobowe, takie jak nazwy użytkowników, e-maile, hasła i inne, do macierzystych firm.

Obie przeglądarki mają domyślnie włączone podstawowe, wbudowane funkcje sprawdzania pisowni, które nie przekazują danych z powrotem do Google czy Microsoftu. Funkcja „Enhanced Spellcheck” w Chrome i „Microsoft Editor” w Edge’u to wyłącznie opcjonalne dodatki, które użytkownicy muszą wyraźnie zautoryzować, i choć jest jasne, że dane użytkownika będą przesyłane do obu firm w celu ulepszenia produktów, nie jest tak oczywiste, że może to obejmować informacje umożliwiające identyfikację użytkownika.

Pracując w połączeniu z większością pól tekstowych na stronie internetowej, oba narzędzia mają dostęp do „w zasadzie wszystkiego”, mówi otto-js. Oznacza to, że wszelkie dane wprowadzane przez użytkownika online, w tym data urodzenia, szczegóły płatności, informacje kontaktowe i dane logowania mogą być wysyłane z powrotem do Google i Microsoftu.

Większość stron internetowych, które blokują hasła online, zasłaniają te bardzo wrażliwe informacje przed narzędziami sprawdzania pisowni, ale kiedy użytkownik kliknie, aby odsłonić tekst (być może, aby sprawdzić, czy wpisał go poprawnie), informacje są następnie narażone.

Z punktu widzenia użytkownika, tymczasowe wyłączenie zaawansowanych narzędzi sprawdzania pisowni lub całkowite usunięcie ich z przeglądarki wydaje się być jedynym sposobem ochrony danych, przynajmniej do czasu, gdy któraś z firm zmieni swoją politykę prywatności.