Wielkie koncerny mogą przejmować poufne dane

W dość prosty sposób wielkie korporacje technologiczne mogą przejmować poufne dane użytkowników internetu. Wykorzystują do tego funkcje przeglądarek WWW.

Fot. Pixabay

Okazuje się, że amerykańscy giganci big tech mogą łatwo przejąć dane osobowe oraz poznać hasła użytkowników do różnych usług w internecie za pomocą mechanizmów sprawdzania pisowni w przeglądarkach stron internetowych. Rozszerzone funkcje sprawdzania pisowni aplikacji Google Chrome i Microsoft Edge przesyłają dane formularzy do firm Google i Microsoft. Przesyłane dane zawierają informacje umożliwiające identyfikację osoby (PII) oraz w niektórych przypadkach hasła.

Chociaż może to być znana i zamierzona funkcja przeglądarek, budzi ona obawy co do tego, co dzieje się z danymi po ich przesłaniu i jak bezpieczna może być ta praktyka, szczególnie jeśli chodzi o pola haseł.

Zobacz również:

Zarówno Chrome, jak i Edge mają domyślnie włączoną podstawową funkcję sprawdzania pisowni. Jednak funkcje zaawansowane, takie jak ulepszone sprawdzanie pisowni w przeglądarce Chrome lub Microsoft Editor służący jako rozszerzenie do Edge, stanowią potencjalne zagrożenie dla prywatności. Po ręcznym włączeniu tych funkcji dane formularzy są przesyłane odpowiednio do Google i Microsoft.

W zależności od odwiedzanej witryny internetowej dane z formularza mogą zawierać PII, w tym między innymi numery PESEL, NIP, imię i nazwisko, adres, adres e-mail, datę urodzenia, dane konta w banku i karty płatniczej itd.

Josh Summitt, współzałożyciel i CTO firmy otto-js zajmującej się bezpieczeństwem JavaScriptu, odkrył ten problem podczas testowania zachowań skryptów.

W przypadkach, gdy włączono w Chrome ulepszone sprawdzanie pisowni lub Microsoft Editor w Edge, „w zasadzie wszystko”, co było wprowadzane w polach formularzy stron WWW otwartych w tych przeglądarkach, zostało przesłane do Google i Microsoft.

– Ponadto, jeśli klikniesz „pokaż hasło”, Chrome wyśle je także do Google – pisze Josh Summitt na blogu.

– Wiele największych witryn jest narażonych na wysyłanie do Google i Microsoft poufnych danych, w tym nazw użytkownika, adresów e-mail i haseł, gdy użytkownicy logują się lub wypełniają formularze, aby uzyskać dostęp do serwisów lub zasobów wewnętrznych, takich jak bazy danych i zasoby w chmurze – pisze Summitt.

– Użytkownicy często korzystają z opcji „pokaż hasło” w witrynach, w których na przykład kopiowanie i wklejanie haseł jest niedozwolone lub gdy podejrzewają, że popełnili błąd.

Testowanie Chrome w różnych serwisach

Aby zademonstrować odkryty przez siebie mechanizm, Josh Summitt przytoczył przykład użytkownika wprowadzającego dane uwierzytelniające w przeglądarce Chrome na platformie Alibaba Cloud – chociaż można użyć do tego dowolnej witryny. Po włączeniu ulepszonego sprawdzania pisowni i założeniu, że użytkownik kliknął funkcję „pokaż hasło”, zawartość pól formularza – w tym nazwa użytkownika i hasło – została przesłana do Google na adres googleapis.com.

Eksperci serwisu BleepingComputer zauważyli, że dane uwierzytelniające są przesyłane przez Chrome do Google podczas korzystania z formularzy na stronach:

  • CNN – zarówno nazwa użytkownika, jak i hasło podczas korzystania z funkcji „pokaż hasło”;
  • Facebook.com – zarówno nazwa użytkownika, jak i hasło podczas korzystania z funkcji „pokaż hasło”;
  • SSA.gov (logowanie do zabezpieczenia społecznego) – tylko zawartość pola nazwy użytkownika;
  • Bank of America – tylko zawartość pola nazwy użytkownika;
  • Verizon – tylko zawartość pola nazwy użytkownika.

Proste rozwiązanie – atrybut HTML „spellcheck”

Chociaż przesyłanie pól formularzy odbywa się bezpiecznie za pośrednictwem protokołu HTTPS, może budzić niepokój to, co może dziać się z danymi użytkownika, gdy dotrą one do strony trzeciej, w tym przypadku serwera Google.

– Funkcja ulepszonego sprawdzania pisowni wymaga zgody użytkownika – stwierdził rzecznik Google w rozmowie z BleepingComputer. – Należy pamiętać, że jest ona opcjonalna, w przeciwieństwie do podstawowego modułu sprawdzania pisowni, który w Chrome jest domyślnie włączony i nie przesyła danych do Google.

Ulepszone sprawdzanie pisowni możesz w Chrome włączyć lub wyłączyć w ustawieniach języków i sprawdzania pisowni. W tym miejscu znajdujemy uczciwe ostrzeżenie, że w przypadku włączenia tej funkcji tekst wpisywany w przeglądarce jest wysyłany do Google.

– Tekst wpisywany do formularza może zawierać poufne dane, ale Google nie łączy ich z tożsamością żadnego użytkownika i przetwarza na serwerze tylko tymczasowo. Aby jeszcze bardziej chronić prywatność użytkownika, będziemy pracować nad aktywnym wykluczaniem haseł ze sprawdzania pisowni – stwierdził rzecznik Google w swoim oświadczeniu. – Doceniamy współpracę ze społecznością zajmującą się bezpieczeństwem i zawsze szukamy sposobów na lepszą ochronę prywatności użytkowników i poufnych informacji.

Jeśli chodzi o dodatek do Edge – Microsoft Editor Spelling & Grammar Checker – to musi być on intencjonalnie zainstalowany, aby dane zostały przesłane do Microsoftu. Serwis BleepingComputer skontaktował się w tej sprawie z koncernem i dowiedział się tylko tyle, że sprawa jest rozpatrywana.

Atak typu „przechwytywanie pisowni”

Firma otto-js nazwała ten wektor ataku „przechwytywaniem pisowni” i wyraziła zaniepokojenie poziomem ochrony danych użytkowników usług w chmurze, takich jak Office 365, Alibaba Cloud, Google Cloud – Secret Manager, Amazon AWS – Secrets Manager i LastPass.

Reagując na raport otto-js, zarówno AWS, jak i LastPass częściowo usunęły problem. W przypadku LastPass rozwiązanie zostało osiągnięte poprzez dodanie do pola hasła prostego atrybutu HTML spellcheck="false".

Brak atrybutu HTML „spellcheck” w polach formularza jest zwykle domyślnie traktowany przez przeglądarki internetowe jako dopuszczający sprawdzanie pisowni. Zawartość pola, w którym „spellcheck” jest ustawiony na wartość false, nie będzie przetwarzana przez moduł sprawdzania pisowni.

– Właściciele serwisów internetowych mogą zmniejszyć ryzyko udostępniania danych osobowych swoich klientów, dodając „spellcheck=false” do wszystkich pól wprowadzania danych, chociaż może to powodować problemy dla użytkowników – wyjaśnia Josh Summitt, mając na myśli to, że tekst wprowadzony do tych pól nie będzie już mógł być sprawdzony pod kątem poprawnej pisowni.

– Jednak atrybut ten można dodać tylko do pól zawierających poufne dane. Witryny mogą również usunąć możliwość „pokazywania hasła”, aby uniemożliwić wysyłanie haseł użytkowników – pisze Summitt.

Źródło: BleepingComputer