Discussione Articolo Dataleak nel controllo ortografico di Google Chrome e Microsoft Edge

Stato
Discussione chiusa ad ulteriori risposte.

0xbro

Super Moderatore
24 Febbraio 2017
4,464
179
3,755
1,825
Ultima modifica da un moderatore:
E' stato scoperto da dei ricercatori di sicurezza un dataleak nel controllo ortografico dei browsers Google Chrome e Microsoft Edge tramite cui venivano inviati ai server di Google e Microsoft alcuni dati riservati degli utenti, tra cui password e altri dati riservati.​
Passwords-708x400.jpg

Dataleak nel controllo ortografico di Google Chrome e Microsoft Edge​

Tempo di lettura stimato: 8 min​


Durante alcune attività di analisi generica di dataleak sui principali browser, i ricercatori di Otto-js hanno recentemente scoperto una nuova problematica all'interno di Google Chrome e Microsoft Edge dovuta all'utilizzo del controllo ortografico avanzato che faceva trapelare diverse informazioni riservate degli utenti, tra cui password, carte di credito, token, ecc. quando immesse all'interno di web form.​

313f9d96-0524-40f6-ae10-d966521d4cf0.png
I ricercatori hanno battezzato questa issue col nome "Spell-jacking password exposure" e nello specifico impatta tutti i dispositivi che usano Google Chrome con l'"Enhanced Spell Check" abilitato e tutti i dispositivi che usano Microsoft Edge assieme all'MS Editor. Fortunatamente entrambe le casistiche non sono configurazioni di default dei browser che, invece, devono essere manualmente abilitate dall'utente, ma ciò nonostante sono comunque molti gli utenti che fanno affidamento a queste due implementazioni.
27750460-6f4c-4e2f-a2d6-e2477b8c2ea1

Per quanto la problematica possa risultare grave, molto probabilmente gli impatti derivati dal leak sono comunque minimali: le richieste contenenti le informazioni personali non possono essere intercettate mentre sono in transito, in quanto sono criptate grazie al protocollo HTTPS, e una volta giunte a destinazione ai server di Google e Microsoft pare che non possano essere ricollegate all'utente in nessun modo (come mostrato anche in figura sopra, non ci sono informazioni sull'utente all'interno del JSON inviato al server).

Di seguito le dichiarazioni di Google a riguardo:​
"The text typed by the user may be sensitive personal information and Google does not attach it to any user identity and only processes it on the server temporarily, [...] To further ensure user privacy, we will be working to exclude passwords proactively from spell check. We appreciate the collaboration with the security community, and we are always looking for ways to better protect user privacy and sensitive information."​

Inoltre, dati riservati come password o altri dati tradizionalmente "mascherati a schermo" non vengono inviati ai server di big G e Microsoft nel 100% dei casi, ma solo quando si decide esplicitamente di mostrarli in chiaro a schermo (eg. la funzionalità "mostra password"). Ciò non toglie che data leaks di questo tipo non dovrebbero mai verificarsi e che, comunque, non si sappia questi dati che fine facciano, se vengano trattati come dati riservati o se invece vengano dati in pasto ad algoritmi di analisi e diffusi poi con altre aziende.

La soluzione che gli utenti possono adottare per evitare la diffusione di queste informazioni è quella di disabilitare le due estensioni in questione e, in futuro, non attivare (se non strettamente necessario) impostazioni che inviino in background dati statistici o analitici ai vendor del prodotto.
SpellCheck.png

Le compagnie possono invece ridurre il rischio di condivisione di informazioni personali dei loro clienti aggiungendo l'attributo spellcheck=false a tutti i campi dei vari form a loro disposizione o, almeno, a quelli più sensibili.​

Potete trovare il report ufficiale dell'analisi condotta da otto di seguito, assieme al video YouTube esplicativo della problematica:


Vedi: https://www.youtube.com/watch?v=Onb0Usgs04I&ab_channel=ottoJavaScriptsecurity

Questo articolo di Otto mi ha fatto personalmente riflettere su quante altre problematiche del genere potrebbero esistere in tantissimi altri prodotti dalle funzionalità simili e sulla quantità di informazioni che vengono ricavate ogni giorni, OGNI SINGOLO GIORNO, da quello che digitiamo e cerchiamo online. Le tastiere virtuali che usiamo, ad esempio, potrebbero fare la stessa cosa. L'assistente vocale idem.​
La domanda che mi sorge spontanea non è più "chissa se...", si è ormai trasformata in un "chissà quando...".

Cosa ne pensate a riguardo? Eravate già a conoscenza della problematica?

Ulteriori informazioni in merito all'argomento le potete trovare ai seguenti link:
 
Passwords-708x400.jpg

Dataleak nel controllo ortografico di Google Chrome e Microsoft Edge​

Tempo di lettura stimato: 8 min​


Durante alcune attività di analisi generica di dataleak sui principali browser, i ricercatori di Otto-js hanno recentemente scoperto una nuova problematica all'interno di Google Chrome e Microsoft Edge dovuta all'utilizzo del controllo ortografico avanzato che faceva trapelare diverse informazioni riservate degli utenti, tra cui password, carte di credito, token, ecc. quando immesse all'interno di web form.​

313f9d96-0524-40f6-ae10-d966521d4cf0.png
I ricercatori hanno battezzato questa issue col nome "Spell-jacking password exposure" e nello specifico impatta tutti i dispositivi che usano Google Chrome con l'"Enhanced Spell Check" abilitato e tutti i dispositivi che usano Microsoft Edge assieme all'MS Editor. Fortunatamente entrambe le casistiche non sono configurazioni di default dei browser che, invece, devono essere manualmente abilitate dall'utente, ma ciò nonostante sono comunque molti gli utenti che fanno affidamento a queste due implementazioni.
27750460-6f4c-4e2f-a2d6-e2477b8c2ea1

Per quanto la problematica possa risultare grave, molto probabilmente gli impatti derivati dal leak sono comunque minimali: le richieste contenenti le informazioni personali non possono essere intercettate mentre sono in transito, in quanto sono criptate grazie al protocollo HTTPS, e una volta giunte a destinazione ai server di Google e Microsoft pare che non possano essere ricollegate all'utente in nessun modo (come mostrato anche in figura sopra, non ci sono informazioni sull'utente all'interno del JSON inviato al server).

Di seguito le dichiarazioni di Google a riguardo:


Inoltre, dati riservati come password o altri dati tradizionalmente "mascherati a schermo" non vengono inviati ai server di big G e Microsoft nel 100% dei casi, ma solo quando si decide esplicitamente di mostrarli in chiaro a schermo (eg. la funzionalità "mostra password"). Ciò non toglie che data leaks di questo tipo non dovrebbero mai verificarsi e che, comunque, non si sappia questi dati che fine facciano, se vengano trattati come dati riservati o se invece vengano dati in pasto ad algoritmi di analisi e diffusi poi con altre aziende.

La soluzione che gli utenti possono adottare per evitare la diffusione di queste informazioni è quella di disabilitare le due estensioni in questione e, in futuro, non attivare (se non strettamente necessario) impostazioni che inviino in background dati statistici o analitici ai vendor del prodotto.

Le compagnie possono invece ridurre il rischio di condivisione di informazioni personali dei loro clienti aggiungendo l'attributo spellcheck=false a tutti i campi dei vari form a loro disposizione o, almeno, a quelli più sensibili.​

Potete trovare il report ufficiale dell'analisi condotta da otto di seguito, assieme al video YouTube esplicativo della problematica:


Vedi: https://www.youtube.com/watch?v=Onb0Usgs04I&ab_channel=ottoJavaScriptsecurity

Questo articolo di Otto mi ha fatto personalmente riflettere su quante altre problematiche del genere potrebbero esistere in tantissimi altri prodotti dalle funzionalità simili e sulla quantità di informazioni che vengono ricavate ogni giorni, OGNI SINGOLO GIORNO, da quello che digitiamo e cerchiamo online. Le tastiere virtuali che usiamo, ad esempio, potrebbero fare la stessa cosa. L'assistente vocale idem.​
La domanda che mi sorge spontanea non è più "chissa se...", si è ormai trasformata in un "chissà quando...".

Cosa ne pensate a riguardo? Eravate già a conoscenza della problematica?

Ulteriori informazioni in merito all'argomento le potete trovare ai seguenti link:

Non l'avrei mai pensato cavoli! Grazie @0xbro, io sono uno di quegli utenti che utilizza la correzione dell'orotografia su Chrome (l'ho disabilitata per precauzione), quando lo utilizzo come browser, molto poco a dir la verità. Per questioni di privacy preferisco usare DuckDuckGo. Questa è l'ennesima prova che Google, come sempre, tende ad abusare dei dati dei suoi utilizzatori.
 
Non l'avrei mai pensato cavoli! Grazie @0xbro, io sono uno di quegli utenti che utilizza la correzione dell'orotografia su Chrome (l'ho disabilitata per precauzione), quando lo utilizzo come browser, molto poco a dir la verità. Per questioni di privacy preferisco usare DuckDuckGo. Questa è l'ennesima prova che Google, come sempre, tende ad abusare dei dati dei suoi utilizzatori.
Da quel che ho capito il problema è solo con la correzione avanzata, con quella tradizionale non dovrebbe esserci, ciò nonostante è davvero incredibile che una cosa del genere possa succedere, che i dati vengano raccolti anonimamente o meno.

A quanto pare sembra che Google abbia anche già in parte mitigato il problema, però chissà da quanto tempo venivano raccolti dati che sarebbero dovuti rimanere segreti
 
Da quel che ho capito il problema è solo con la correzione avanzata, con quella tradizionale non dovrebbe esserci, ciò nonostante è davvero incredibile che una cosa del genere possa succedere, che i dati vengano raccolti anonimamente o meno.

A quanto pare sembra che Google abbia anche già in parte mitigato il problema, però chissà da quanto tempo venivano raccolti dati che sarebbero dovuti rimanere segreti
Da quello che dicono loro i dati sono comunque crittografati e vengono salvati in modo anonimo sui server e temporaneamente, però è comunque abbastanza grave.
 
  • Mi piace
Reazioni: 0xbro
Stato
Discussione chiusa ad ulteriori risposte.