Discussione News Dataleak nel controllo ortografico di Google Chrome e Microsoft Edge

Stato
Discussione chiusa ad ulteriori risposte.
Ordina per data Ordina commenti per reazioni
0

0xbro

Super Moderatore
24 Febbraio 2017
4,398
178
3,599
1,820
Ultima modifica da un moderatore:
E' stato scoperto da dei ricercatori di sicurezza un dataleak nel controllo ortografico dei browsers Google Chrome e Microsoft Edge tramite cui venivano inviati ai server di Google e Microsoft alcuni dati riservati degli utenti, tra cui password e altri dati riservati.​
Clicca per espandere...
Passwords-708x400.jpg

Dataleak nel controllo ortografico di Google Chrome e Microsoft Edge​

Tempo di lettura stimato: 8 min​


Durante alcune attività di analisi generica di dataleak sui principali browser, i ricercatori di Otto-js hanno recentemente scoperto una nuova problematica all'interno di Google Chrome e Microsoft Edge dovuta all'utilizzo del controllo ortografico avanzato che faceva trapelare diverse informazioni riservate degli utenti, tra cui password, carte di credito, token, ecc. quando immesse all'interno di web form.​

313f9d96-0524-40f6-ae10-d966521d4cf0.png
I ricercatori hanno battezzato questa issue col nome "Spell-jacking password exposure" e nello specifico impatta tutti i dispositivi che usano Google Chrome con l'"Enhanced Spell Check" abilitato e tutti i dispositivi che usano Microsoft Edge assieme all'MS Editor. Fortunatamente entrambe le casistiche non sono configurazioni di default dei browser che, invece, devono essere manualmente abilitate dall'utente, ma ciò nonostante sono comunque molti gli utenti che fanno affidamento a queste due implementazioni.
27750460-6f4c-4e2f-a2d6-e2477b8c2ea1

Per quanto la problematica possa risultare grave, molto probabilmente gli impatti derivati dal leak sono comunque minimali: le richieste contenenti le informazioni personali non possono essere intercettate mentre sono in transito, in quanto sono criptate grazie al protocollo HTTPS, e una volta giunte a destinazione ai server di Google e Microsoft pare che non possano essere ricollegate all'utente in nessun modo (come mostrato anche in figura sopra, non ci sono informazioni sull'utente all'interno del JSON inviato al server).

Di seguito le dichiarazioni di Google a riguardo:​
"The text typed by the user may be sensitive personal information and Google does not attach it to any user identity and only processes it on the server temporarily, [...] To further ensure user privacy, we will be working to exclude passwords proactively from spell check. We appreciate the collaboration with the security community, and we are always looking for ways to better protect user privacy and sensitive information."​
Clicca per espandere...

Inoltre, dati riservati come password o altri dati tradizionalmente "mascherati a schermo" non vengono inviati ai server di big G e Microsoft nel 100% dei casi, ma solo quando si decide esplicitamente di mostrarli in chiaro a schermo (eg. la funzionalità "mostra password"). Ciò non toglie che data leaks di questo tipo non dovrebbero mai verificarsi e che, comunque, non si sappia questi dati che fine facciano, se vengano trattati come dati riservati o se invece vengano dati in pasto ad algoritmi di analisi e diffusi poi con altre aziende.

La soluzione che gli utenti possono adottare per evitare la diffusione di queste informazioni è quella di disabilitare le due estensioni in questione e, in futuro, non attivare (se non strettamente necessario) impostazioni che inviino in background dati statistici o analitici ai vendor del prodotto.
SpellCheck.png

Le compagnie possono invece ridurre il rischio di condivisione di informazioni personali dei loro clienti aggiungendo l'attributo spellcheck=false a tutti i campi dei vari form a loro disposizione o, almeno, a quelli più sensibili.​

Potete trovare il report ufficiale dell'analisi condotta da otto di seguito, assieme al video YouTube esplicativo della problematica:

Chrome & Edge Enhanced Spellcheck Features Expose PII, Even Your Passwords | otto

www.otto-js.com www.otto-js.com


Vedi: https://www.youtube.com/watch?v=Onb0Usgs04I&ab_channel=ottoJavaScriptsecurity

Questo articolo di Otto mi ha fatto personalmente riflettere su quante altre problematiche del genere potrebbero esistere in tantissimi altri prodotti dalle funzionalità simili e sulla quantità di informazioni che vengono ricavate ogni giorni, OGNI SINGOLO GIORNO, da quello che digitiamo e cerchiamo online. Le tastiere virtuali che usiamo, ad esempio, potrebbero fare la stessa cosa. L'assistente vocale idem.​
La domanda che mi sorge spontanea non è più "chissa se...", si è ormai trasformata in un "chissà quando...".

Cosa ne pensate a riguardo? Eravate già a conoscenza della problematica?

Ulteriori informazioni in merito all'argomento le potete trovare ai seguenti link:
www.darkreading.com

Spell-Checking in Google Chrome, Microsoft Edge Browsers Leaks Passwords

It's called "spell-jacking": Both browsers have spell-check features that send data to Microsoft and Google when users fill out forms for websites or Web services.
www.darkreading.com www.darkreading.com
tech.hindustantimes.com

Beware! Your browsers may be leaking passwords; delete spell check now

Do you frequently use spell check extensions on your browser? It might be putting your passwords at risk. Here's what you need to know.
tech.hindustantimes.com tech.hindustantimes.com
urgentcomm.com

Spell-checking in Google Chrome, Microsoft Edge browsers leaks passwords - Urgent Comms

Spell-checking features present in both the Google Chrome and Microsoft Edge browsers are leaking sensitive user information — including username, email, and passwords — to Google and Microsoft, respectively, when people fill in forms on popular websites and cloud-based enterprise apps. The...
urgentcomm.com urgentcomm.com
 
  • Mi piace
  • Love
  • Grazie
Reazioni: MRPants, LinuxUser, Kuniraia e altri 3
0xbro ha detto:
Passwords-708x400.jpg

Dataleak nel controllo ortografico di Google Chrome e Microsoft Edge​

Tempo di lettura stimato: 8 min​


Durante alcune attività di analisi generica di dataleak sui principali browser, i ricercatori di Otto-js hanno recentemente scoperto una nuova problematica all'interno di Google Chrome e Microsoft Edge dovuta all'utilizzo del controllo ortografico avanzato che faceva trapelare diverse informazioni riservate degli utenti, tra cui password, carte di credito, token, ecc. quando immesse all'interno di web form.​

313f9d96-0524-40f6-ae10-d966521d4cf0.png
I ricercatori hanno battezzato questa issue col nome "Spell-jacking password exposure" e nello specifico impatta tutti i dispositivi che usano Google Chrome con l'"Enhanced Spell Check" abilitato e tutti i dispositivi che usano Microsoft Edge assieme all'MS Editor. Fortunatamente entrambe le casistiche non sono configurazioni di default dei browser che, invece, devono essere manualmente abilitate dall'utente, ma ciò nonostante sono comunque molti gli utenti che fanno affidamento a queste due implementazioni.
27750460-6f4c-4e2f-a2d6-e2477b8c2ea1

Per quanto la problematica possa risultare grave, molto probabilmente gli impatti derivati dal leak sono comunque minimali: le richieste contenenti le informazioni personali non possono essere intercettate mentre sono in transito, in quanto sono criptate grazie al protocollo HTTPS, e una volta giunte a destinazione ai server di Google e Microsoft pare che non possano essere ricollegate all'utente in nessun modo (come mostrato anche in figura sopra, non ci sono informazioni sull'utente all'interno del JSON inviato al server).

Di seguito le dichiarazioni di Google a riguardo:


Inoltre, dati riservati come password o altri dati tradizionalmente "mascherati a schermo" non vengono inviati ai server di big G e Microsoft nel 100% dei casi, ma solo quando si decide esplicitamente di mostrarli in chiaro a schermo (eg. la funzionalità "mostra password"). Ciò non toglie che data leaks di questo tipo non dovrebbero mai verificarsi e che, comunque, non si sappia questi dati che fine facciano, se vengano trattati come dati riservati o se invece vengano dati in pasto ad algoritmi di analisi e diffusi poi con altre aziende.

La soluzione che gli utenti possono adottare per evitare la diffusione di queste informazioni è quella di disabilitare le due estensioni in questione e, in futuro, non attivare (se non strettamente necessario) impostazioni che inviino in background dati statistici o analitici ai vendor del prodotto.

Le compagnie possono invece ridurre il rischio di condivisione di informazioni personali dei loro clienti aggiungendo l'attributo spellcheck=false a tutti i campi dei vari form a loro disposizione o, almeno, a quelli più sensibili.​

Potete trovare il report ufficiale dell'analisi condotta da otto di seguito, assieme al video YouTube esplicativo della problematica:

Chrome & Edge Enhanced Spellcheck Features Expose PII, Even Your Passwords | otto

www.otto-js.com www.otto-js.com


Vedi: https://www.youtube.com/watch?v=Onb0Usgs04I&ab_channel=ottoJavaScriptsecurity

Questo articolo di Otto mi ha fatto personalmente riflettere su quante altre problematiche del genere potrebbero esistere in tantissimi altri prodotti dalle funzionalità simili e sulla quantità di informazioni che vengono ricavate ogni giorni, OGNI SINGOLO GIORNO, da quello che digitiamo e cerchiamo online. Le tastiere virtuali che usiamo, ad esempio, potrebbero fare la stessa cosa. L'assistente vocale idem.​
La domanda che mi sorge spontanea non è più "chissa se...", si è ormai trasformata in un "chissà quando...".

Cosa ne pensate a riguardo? Eravate già a conoscenza della problematica?

Ulteriori informazioni in merito all'argomento le potete trovare ai seguenti link:
www.darkreading.com

Spell-Checking in Google Chrome, Microsoft Edge Browsers Leaks Passwords

It's called "spell-jacking": Both browsers have spell-check features that send data to Microsoft and Google when users fill out forms for websites or Web services.
www.darkreading.com www.darkreading.com
tech.hindustantimes.com

Beware! Your browsers may be leaking passwords; delete spell check now

Do you frequently use spell check extensions on your browser? It might be putting your passwords at risk. Here's what you need to know.
tech.hindustantimes.com tech.hindustantimes.com
urgentcomm.com

Spell-checking in Google Chrome, Microsoft Edge browsers leaks passwords - Urgent Comms

Spell-checking features present in both the Google Chrome and Microsoft Edge browsers are leaking sensitive user information — including username, email, and passwords — to Google and Microsoft, respectively, when people fill in forms on popular websites and cloud-based enterprise apps. The...
urgentcomm.com urgentcomm.com
Clicca per espandere...

Non l'avrei mai pensato cavoli! Grazie @0xbro, io sono uno di quegli utenti che utilizza la correzione dell'orotografia su Chrome (l'ho disabilitata per precauzione), quando lo utilizzo come browser, molto poco a dir la verità. Per questioni di privacy preferisco usare DuckDuckGo. Questa è l'ennesima prova che Google, come sempre, tende ad abusare dei dati dei suoi utilizzatori.
 
CrazyMonk ha detto:
Non l'avrei mai pensato cavoli! Grazie @0xbro, io sono uno di quegli utenti che utilizza la correzione dell'orotografia su Chrome (l'ho disabilitata per precauzione), quando lo utilizzo come browser, molto poco a dir la verità. Per questioni di privacy preferisco usare DuckDuckGo. Questa è l'ennesima prova che Google, come sempre, tende ad abusare dei dati dei suoi utilizzatori.
Clicca per espandere...
Da quel che ho capito il problema è solo con la correzione avanzata, con quella tradizionale non dovrebbe esserci, ciò nonostante è davvero incredibile che una cosa del genere possa succedere, che i dati vengano raccolti anonimamente o meno.

A quanto pare sembra che Google abbia anche già in parte mitigato il problema, però chissà da quanto tempo venivano raccolti dati che sarebbero dovuti rimanere segreti
 
0xbro ha detto:
Da quel che ho capito il problema è solo con la correzione avanzata, con quella tradizionale non dovrebbe esserci, ciò nonostante è davvero incredibile che una cosa del genere possa succedere, che i dati vengano raccolti anonimamente o meno.

A quanto pare sembra che Google abbia anche già in parte mitigato il problema, però chissà da quanto tempo venivano raccolti dati che sarebbero dovuti rimanere segreti
Clicca per espandere...
Da quello che dicono loro i dati sono comunque crittografati e vengono salvati in modo anonimo sui server e temporaneamente, però è comunque abbastanza grave.
 
  • Mi piace
Reazioni: 0xbro
OFFICIAL START: 22.09.2023 - 19.00 H CEST
Middleschool - Professional - PvM&PvP - High QoL
Stato
Discussione chiusa ad ulteriori risposte.

DISCUSSIONI SIMILI

0
Discussione Passkeys: l'inizio della fine delle password?
  • Chiuso
  • 18
  • 945
18
945
Sicurezza Informatica
☣ᴋɪʟʟ ꜰᴏʀ ᴛʜᴇ ᴛʜʀɪʟʟ☣
M
Discussione Ufficiale News ChatGPT bloccato in Italia per preoccupazioni relative alla privacy degli utenti
  • Chiuso
  • 38
  • 1K
38
1K
Sicurezza Informatica
Max Fridman
R
Domanda Microsoft Edge Vs Google Chrome
  • 3
  • 123
3
123
Informatica e Reti
JunkCoder
M
News Attacco ransomware a Postel società controllata da Poste Italiane del 15 Agosto 2023
  • 11
  • 610
11
610
Sicurezza Informatica
MRPants
0
Discussione Vulnerabilità critiche nel mondo Automotive: impattate Ferrari, BMW e molti altri brand
  • Chiuso
  • 11
  • 3K
11
3K
Sicurezza Informatica
0xbro
Top Bottom
Indietro