Últimas 15minutos

Los correctores ortográficos mejorados de Chrome y Edge filtran los datos sensibles de los usuarios

El problema se agrava si el usuario pincha en la opción mostrar contraseña, porque si se activa analiza la información como texto y la envía a los servidores de terceros

El error, localizado en la revisión ortográfica mejorada de Chrome y MS Editor de Edge, envía los datos que los usuarios introducen en los formularios a los sitios web donde estuvieran intentando iniciar sesión, como recoge en el blog de la empresa (MICROSOFT)

15 minutos. Los navegadores de Google y Edge están filtrando los datos sensibles de los usuarios a webs y servidores de terceros debido a un problema que afecta al corrector ortográfico mejorado de Chrome y Edge.

El cofundador y director de tecnología de otto-js, Josh Summitt, descubrió un problema de seguridad en los navegadores Chrome y Edge mientras comprobaba la detección de comportamientos de secuencias de comandos de la empresa.

El error, localizado en la revisión ortográfica mejorada de Chrome y MS Editor de Edge, envía los datos que los usuarios introducen en los formularios a los sitios web donde estuvieran intentando iniciar sesión, como recoge en el blog de la empresa.

Google ya señala en su blog de Soporte que la revisión ortográfica mejorada de Chrome envía el texto que el usuario escribe en el navegador a Google para mejorar las sugerencias ortográficas.

Sugerencias inteligentes

Por su parte, MS Editor es una extensión disponible para Chrome y Edge que ofrece sugerencias inteligentes de gramática y ortografía, para lo que necesita conectarse a un servicio en línea de Microsoft.

Esto se traduce en que si el usuario tiene activada una de estas herramientas, cualquier texto que escriba en el navegador (nombre, usuario, correo electrónico, fecha de nacimiento, entre otra información)), también en las ventanas de inicio de sesión 'online', se envía a los servidores de Google y Microsoft.

Aunque en un inicio puede tratarse de un problema de falta de formación por parte del usuario sobre ambas herramientas, el problema se agrava si el usuario pincha en la opción 'mostrar contraseña', que generalmente se usa para comprobar que se escribió correctamente, ya que se muestra en texto plano.

Si se activa, el corrector ortográfico mejorado de cualquiera de los 2 navegadores analiza esa información como cualquier otro texto y la envía a los servidores de terceros.

Summitt, que denominó este fallo de seguridad como 'spell-jacking', compartió que los 5 principales sitios con exposición para las empresas son Office 365, el servicio en la nube de Alibaba, Secret Manager de Google Cloud, Secret Managerde AWS y LastPass. Estos 2 últimos mitigaron el problema.

Ver más