Google и Microsoft получают пароли и персональные данные пользователей через расширенную проверку правописания



Эксперты исследовательской команды otto-js
Please, Log in or Register to view URLs content!
, что Google и Microsoft (в Microsoft Editor Spelling и Grammar Checker) передают с клиентского устройства и получают на своих серверах пароли и персональные данные пользователей через облачный механизм системы расширенной проверки правописания. Это происходит, например, когда пользователь после набора пароля нажимает в окне браузера (Chrome или Edge) или системном меню приложения кнопку «показать пароль». Система проверяет этот пароль на правописание и отсылает на сервера разработчиков.

По умолчанию Chrome, Edge и офисные облачные редакторы текста Google и Microsoft поставляются с включёнными базовыми средствами проверки правописания. Пользователи могут в них активировать вручную режим расширенной проверки правописания, которая, как показали исследования otto-js, представляет потенциальную угрозу конфиденциальности личных данных и паролей.



В этом случае, в зависимости от веб-сайта, который посещает пользователь, введённые им данные в формы регистрации, включая, помимо прочего, ФИО, номера социального страхования, адрес проживания, адрес электронной почты, дату рождения, контактную информацию, банковскую и платёжную информацию, могут напрямую передаваться в Google и Microsoft для проверки правописания.

Эксперты otto-js, обнаружившие эту проблему, уточнили, что «практически всё», введённое в поля форм браузеров Chrome или Edge, передавалось в Google и Microsoft.

«Более того, если вы нажмёте «показать пароль», то расширенная проверка правописания даже отправит ваш пароль, по сути, исправив ваши данные», — пояснили в otto-js. Это работает и в среде для корпоративных пользователей Chrome или Edge, например, с ресурсов Google Cloud (Secret Manager), AWS (Secrets Manager), Facebook, Office 365, Alibaba Cloud и LastPass.

Пример того, как при включённой опции «расширенная проверка правописания» пользователь нажал функцию «показать пароль», а поля этой формы, включая имя пользователя и пароль, передаются в Google на googleapis.com.

На сайте Google
Please, Log in or Register to view URLs content!
, что при расширенной проверке правописания текст, который пользователь вводит в браузере, отправляется в Google для улучшения работы этой функции.

Эксперты пояснили, что для безопасности данных пользователей нужно или отключить, где это возможно, опцию проверки правописания (spellcheck=false) или
Please, Log in or Register to view URLs content!
, что у пользователей не активирована расширенная проверка правописания.



Журналисты Bleeping Сomputer
Please, Log in or Register to view URLs content!
с Google по этому инциденту и получили ответ от компании.

«Текст, введённый пользователем в этом случае, может быть конфиденциальной личной информацией, но Google не привязывает его к какой-либо личности пользователя, а только временно обрабатывает на своих серверах. Чтобы ещё больше обеспечить конфиденциальность пользователей, мы будем работать над тем, чтобы заблаговременно исключить пароли из проверки правописания», — пояснили в Google, но не раскрыли, когда это будет реализовано и как долго эта проблема была активна изначально.

Издание Bleeping Computer также связалось с Microsoft с вопросом по этом проблеме. Компания пояснила, что этот инцидент рассматривается, но без конкретного ответа, что разработчики собираются предпринять, чтобы заблокировать передачу паролей и персональных данных пользователей в этом случае.