دستیابی گوگل و مایکروسافت به پسورد از طریق اصلاح‌کننده غلط املایی مرورگر

[av_textblock size=” av-medium-font-size=” av-small-font-size=” av-mini-font-size=” font_color=” color=” id=” custom_class=” template_class=” av_uid=’av-lbkj2cti’ sc_version=’1.0′ admin_preview_bg=”]

قابلیت غلط‌یاب املایی در مرورگرهای کروم گوگل و مایکروسافت ادج (edge)، اطلاعاتی را انتقال می‌دهند که شامل، اطلاعات شخصی قابل‌شناسایی(PII) است و در برخی موارد، حتی پسورد را دودستی، تقدیم به مایکروسافت و گوگل می‌کنند.

درحالی‌که ممکن است این ویژگی‌ها شناخته شده باشند؛ اما باعث افزایش نگرانی‌ها درباره این است که بعد از ارسال و بازبینی اطلاعات ما برای تصحیح غلط املایی این انتقال چقدر امن است، مخصوصاً وقتی که موضوع پسورد در میان باشد.

هر دو مرورگر کروم (chorme) و ادج (edge) به‌صورت پیش‌فرض،غلط‌یاب املایی‌شان روشن است، غلط‌یاب املا مثل اصلاح‌کننده غلط املایی کروم یا ادیتور مایکروسافت، زمانی که به‌صورت دستی توسط کاربر فعال شوند، باعث بروز این احتمال بالقوه لغو حریم خصوصی می‌شوند.

سرقت کلمات: این اطلاعات شخصی قابل‌شناسایی شماست که تصحیح‌کننده غلط املایی‌تان آن را به صاحبان فناوری‌های بزرگ می‌فرستد.

زمانی که در حال استفاده از مرورگرهای معروفی مثل Google chrome  یا Microsoft edge  هستید، در صورت فعال‌بودن اصلاح‌کننده پیشرفته، اطلاعات شما به گوگل و مایکروسافت ارسال می‌شود.

باتوجه‌به سایتی که شما در آن حضور دارید، خود کلمات شما می‌توانند حاوی اطلاعات شخصی قابل‌شناسایی باشند؛ اما این اطلاعات فقط محدود به شماره تأمین اجتماعی، شماره بیمه اجتماعی، نام، آدرس، ایمیل، تاریخ تولد، اطلاعات مخاطبین، اطلاعات بانکی نیست و می‌توانند موارد بیش‌تری را شامل شوند.

جاش سامیت، هم بنیان‌گذار و مدیر ارشد فناوری بخش جاوا اسکریپت شرکت otto-js زمانی که در حال تست و بررسی اسکریپت‌های شرکت خود بودند، متوجه این موضوع شدند.

درصورتی‌که Chrome Enhanced Spellcheck یا Microsoft Editor فعال باشند، تقریباً می‌توان گفت که هر چیزی که شما در آن فیلد مرورگرها تایپ کنید، به گوگل یا مایکروسافت فرستاده می‌شود.

علاوه بر این، اگر بر روی “نمایش پسورد” کلیک کنید، enhanced spellcheck حتی داده‌های شما را هم ارسال می‌کند و اساساً شما را می‌رباید.

زمانی که کاربران در حال ورود یا پرکردن فیلدها هستند، برخی از بزرگ‌ترین وب‌سایت‌های جهان باعث در معرض خطر قراردادن ارسال PII کاربران به گوگل و مایکروسافت هستند که شامل نام کاربری، ایمیل و پسورد است. یکی از نگرانی‌های مهم‌تر برای شرکت‌ها، درز کردن اطلاعات مهم سازمانی و شرکت‌ها یا دارایی‌های داخلی مانند پایگاه‌های داده و زیرساخت‌های ابری است.

کاربران اغلب ممکن است در سایت‌هایی که برای مثال برای کپی – پیست کردن رمزهای عبور مجاز نیستند، یا زمانی که احساس می‌کنند آن را اشتباه تایپ کرده‌اند، به گزینه «نمایش رمز عبور» اعتماد کنند.

به‌عنوان‌مثال، otto-js واردکردن اطلاعات کاربری در پلتفرم Alibaba’ Cloud در مرورگر وب کروم مشاهده می‌کنید.

با فعال‌کردن enhanced spellcheck، و با فرض کلیک‌کردن کاربر روی ویژگی «نمایش رمز عبور»، فیلدهایی شامل نام کاربری و رمز عبور به Google در googleapis.com منتقل می‌شوند.

چند مثال از سایت‌ها و اطلاعاتی که انتقال می‌دهند:

CNN : نام کاربری و رمز عبور، زمانی که از گزینه ” نمایش پسورد” استفاده می‌شود.

Facebook: نام کاربری و رمز عبور، زمانی که از گزینه ” نمایش پسورد” استفاده می‌شود.

SSA.gov : نام کاربری و رمز عبور.

Bank of America: نام کاربری.

Verizon: نام کاربری.

یک راه‌حل HTML  ساده : ‘spellcheck=false’

اگرچه انتقال اطلاعات فیلدها به‌صورت ایمن از طریق HTTPS انجام می‌شود، اما ممکن است مشخص نباشد که چه اتفاقی برای داده‌های کاربر پس از رسیدن به اشخاص ثالث، در این مثال، سرور Google اتفاق می‌افتد.

قابلیت Enhanced spell check نیاز به تأیید و فعال‌سازی توسط کاربر را دارد و سخنگوی گوگل این موضوع را نیز تأیید کرده است. در نظر داشته باشید که این  برخلاف غلط‌گیر املای اولیه که به طور پیش‌فرض در کروم فعال است و داده‌ها را به Google منتقل نمی‌کند.

برای چک‌کردن فعال‌بودن Enhanced spell check در مرورگر کروم، لینک  زیر را در نوار آدرس خود کپی کنید. سپس می‌توانید روشن یا خاموش‌کردن آن را انتخاب کنید:

chrome://settings/?search=Enhanced+Spell+Check

همان‌طور که از اسکرین‌شات مشخص است، توضیحات این ویژگی به‌صراحت بیان می‌کند که با فعال‌بودن بررسی املای پیشرفته، “متنی که در مرورگر تایپ می‌کنید برای Google ارسال می‌شود.”

در مورد مرورگر Edge نیز، Microsoft Editor Spelling & Grammar Checker یک افزونه مرورگر است که برای انجام این کار باید ابتدا نصب شود.

otto-js این درز اطلاعات را “Spell-jacking” نامید و برای کاربران سرویس‌های ابری مانند Office 365، Alibaba Cloud، Google Cloud – Secret Manager، Amazon AWS – Secrets Manager و LastPass ابراز نگرانی کرد.

مرورگرهای وب معمولاً فرض می‌کنند که مشخصه HTML «بررسی املا» وقتی از فیلدهای ورودی متن خارج می‌شود، به طور پیش‌فرض درست است. فیلد ورودی با غلط املا از طریق غلط‌گیر املای مرورگر وب پردازش نمی‌شود.

otto-js با اشاره به این واقعیت افزود که کاربران اکنون دیگر نمی‌توانند متن وارد شده خود را از طریق غلط‌گیر املا اجرا کنند و  شرکت‌ها می‌توانند خطر اشتراک‌گذاری PII مشتریان خود را با افزودن ‘spellcheck=false’ به همه فیلدهای ورودی کاهش دهند، اگرچه این می‌تواند مشکلاتی را برای کاربران ایجاد کند.

همچنین، می‌توانید آن را فقط به فیلدهایی با داده‌های حساس اضافه کنید. شرکت‌ها همچنین می‌توانند قابلیت «نمایش رمز عبور» را حذف کنند. این کار مانع از spell-jacking نمی‌شود، اما از ارسال رمزهای عبور کاربر جلوگیری می‌کند.

از قضا، مشاهده کردیم که فرم ورود توییتر که با گزینه “show password” همراه است، دارای ویژگی HTML “spellcheck” فیلد رمز عبور به‌صراحت روی true تنظیم شده است:

به‌عنوان یک‌لایه حفاظتی اضافه‌تر، کاربران Chrome و Edge می‌توانند بررسی املای پیشرفته را خاموش کنند  یا افزونه Microsoft Editor را از Edge حذف کنند تا زمانی که هر دو شرکت غلط‌گیرهای املای گسترده را اصلاح کنند تا پردازش فیلدهای حساس مانند گذرواژه‌ها را حذف کنند.

منبع : bleepingcomputer

[/av_textblock]