Los navegadores de Google y Edge están filtrando los datos sensibles de los usuarios a webs y servidores de terceros debido a un problema que afecta al corrector ortográfico mejorado de Chrome y Edge.
El cofundador y director de tecnología de otto-js, Josh Summitt, ha descubierto un problema de seguridad en los navegadores Chrome y Edge mientras comprobaba la detección de comportamientos de secuencias de comandos de la empresa.
El error, localizado en la revisión ortográfica mejorada de Chrome y MS Editor de Edge, envía los datos que los usuarios introducen en los formularios a los sitios web donde estuvieran intentando iniciar sesión, como recoge en el blog de la empresa.
Google ya señala en su blog de Soporte que la revisión ortográfica mejorada de Chrome envía el texto que el usuario escribe en el navegador a Google para mejorar las sugerencias ortográficas. Por su parte, MS Editor es una extensión disponible para Chrome y Edge queofrece sugerencias inteligentes de gramática y ortografía, para lo que necesita conectarse a un servicio en línea de Microsoft.
Esto se traduce en que si el usuario tiene activada una de estas herramientas, cualquier texto que escriba en el navegador (nombre, usuario, correo electrónico, fecha de nacimiento, entre otra información)), también en las ventanas de inicio de sesión 'online', se envía a los servidores de Google y Microsoft.
Aunque en un inicio puede tratarse de un problema de falta de formación por parte del usuario sobre ambas herramientas, el problema se agrava si el usuario pincha en la opción 'mostrar contraseña', que generalmente se usa para comprobar que se ha escrito correctamente, ya que se muestra en texto plano. Si se activa, el corrector ortográfico mejorado de cualquiera de los dos navegadores analiza esa información como cualquier otro texto y la envía a los servidores de terceros.
Summitt, que ha denominado este fallo de seguridad como 'spell-jacking', ha compartido que los cinco principales sitios con exposición para las empresas son Office 365, el servicio en la nube de Alibaba, Secret Manager de Google Cloud, Secret Managerde AWS y LastPass. Estos dos últimos han mitigado el problema.