Google und Microsoft können Ihre Passwörter über die Rechtschreibprüfung des Webbrowsers abrufen

Google und Microsoft können Ihre Passwörter über die Rechtschreibprüfung des Webbrowsers abrufen

Spread the love

Erweiterte Rechtschreibprüfungsfunktionen in Google Chrome- und Microsoft Edge-Webbrowsern übertragen Formulardaten, einschließlich persönlich identifizierbarer Informationen (PII) und in einigen Fällen Kennwörtern, an Google bzw. Microsoft.

Obwohl dies eine bekannte und beabsichtigte Funktion dieser Webbrowser sein mag, gibt es Anlass zur Sorge darüber, was mit den Daten nach der Übertragung passiert und wie sicher die Praxis sein könnte, insbesondere wenn es um Passwortfelder geht.

Sowohl Chrome als auch Edge werden mit aktivierter grundlegender Rechtschreibprüfung ausgeliefert. Aber Funktionen wie die erweiterte Rechtschreibprüfung von Chrome oder der Microsoft Editor weisen dieses potenzielle Datenschutzrisiko auf, wenn sie vom Benutzer manuell aktiviert werden.

Spelljacking: Das ist Ihre Rechtschreibprüfung, die PII an Big Tech sendet

Bei Verwendung von gängigen Webbrowsern wie Chrome und Edge werden Ihre Formulardaten an Google bzw. Microsoft übertragen, wenn erweiterte Rechtschreibprüfungsfunktionen aktiviert sind.

Abhängig von der von Ihnen besuchten Website können die Formulardaten selbst PII enthalten – einschließlich, aber nicht beschränkt auf Sozialversicherungsnummern (SSNs)/Sozialversicherungsnummern (SINs), Name, Adresse, E-Mail, Geburtsdatum (DOB), Kontaktinformationen, Bank- und Zahlungsinformationen usw.

Josh Summitt, Mitbegründer und CTO der JavaScript-Sicherheitsfirma otto-js, entdeckte dieses Problem, als er die Erkennung von Skriptverhalten seines Unternehmens testete.

In Fällen, in denen Chrome Enhanced Spellcheck oder der Microsoft Editor (Rechtschreibprüfung) von Edge aktiviert waren, wurde „im Grunde alles“, was in Formularfelder dieser Browser eingegeben wurde, an Google und Microsoft übermittelt.

„Außerdem sendet die erweiterte Rechtschreibprüfung, wenn Sie auf ‚Passwort anzeigen‘ klicken, sogar Ihr Passwort, was im Grunde genommen ein Spell-Jacking Ihrer Daten ist“, erklärt otto-js in einem Blogbeitrag.

„Einige der größten Websites der Welt sind dem Risiko ausgesetzt, vertrauliche personenbezogene Daten von Benutzern an Google und Microsoft zu senden, einschließlich Benutzername, E-Mail und Passwörter, wenn Benutzer sich anmelden oder Formulare ausfüllen. Eine noch größere Sorge für Unternehmen ist die Gefährdung, die dies darstellt zu den Enterprise-Zugangsdaten des Unternehmens zu internen Assets wie Datenbanken und Cloud-Infrastruktur.”

Felder des Alibaba-Anmeldeformulars
Felder des Alibaba-Anmeldeformulars, bei denen „Passwort anzeigen“ aktiviert ist (otto-js)
Verbesserte Rechtschreibprüfung übermittelt Passwörter an Microsoft und Google
Die erweiterte Rechtschreibprüfung von Chrome übermittelt das Passwort an Google (otto-js)

Benutzer verlassen sich häufig auf die Option „Passwort anzeigen“ auf Websites, auf denen das Kopieren und Einfügen von Passwörtern beispielsweise nicht erlaubt ist, oder wenn sie vermuten, dass sie sich vertippt haben.

Um dies zu demonstrieren, teilte otto-js das Beispiel eines Benutzers, der Anmeldeinformationen auf der Cloud-Plattform von Alibaba im Chrome-Webbrowser eingibt – obwohl jede Website für diese Demonstration verwendet werden kann.

Bei aktivierter erweiterter Rechtschreibprüfung und unter der Annahme, dass der Benutzer auf die Funktion „Passwort anzeigen“ getippt hat, werden Formularfelder einschließlich Benutzername und Passwort an Google übertragen googleapis.com.

Das Unternehmen hat auch eine Videodemonstration geteilt:

BleepingComputer beobachtete auch, dass Anmeldeinformationen in unseren Tests mit Chrome an Google übertragen wurden, um wichtige Websites wie die folgenden zu besuchen:

  • CNN – sowohl Benutzername als auch Passwort bei Verwendung von „Passwort anzeigen“
  • Facebook.com – sowohl Benutzername als auch Passwort bei Verwendung von „Passwort anzeigen“
  • SSA.gov (Social Security Login) – nur Benutzernamensfeld
  • Bank of America – nur Benutzernamensfeld
  • Verizon – nur Benutzernamensfeld

Eine einfache HTML-Lösung: ‘spellcheck=false’

Obwohl die Übertragung von Formularfeldern sicher über HTTPS erfolgt, ist möglicherweise nicht sofort klar, was mit den Benutzerdaten passiert, sobald sie den Drittanbieter, in diesem Beispiel den Server von Google, erreichen.

„Die erweiterte Rechtschreibprüfung erfordert eine Zustimmung des Benutzers“, bestätigte ein Google-Sprecher gegenüber BleepingComputer. Beachten Sie, dass dies im Gegensatz zur einfachen Rechtschreibprüfung steht, die in Chrome standardmäßig aktiviert ist und keine Daten an Google überträgt.

Um zu überprüfen, ob die erweiterte Rechtschreibprüfung in Ihrem Chrome-Browser aktiviert ist, kopieren Sie den folgenden Link und fügen Sie ihn in Ihre Adressleiste ein. Sie können es dann ein- oder ausschalten:

chrome://settings/?search=Enhanced+Spell+Check

chrome erweiterte rechtschreibprüfung einstellung
Die erweiterte Rechtschreibprüfung in Chrome muss aktiviert werden (Piepender Computer)

Wie aus dem Screenshot hervorgeht, heißt es in der Beschreibung der Funktion ausdrücklich, dass bei aktivierter erweiterter Rechtschreibprüfung „Text, den Sie in den Browser eingeben, an Google gesendet wird“.

„Der vom Benutzer eingegebene Text kann vertrauliche persönliche Informationen sein, und Google ordnet ihn keiner Benutzeridentität zu und verarbeitet ihn nur vorübergehend auf dem Server. Um die Privatsphäre der Benutzer weiter zu gewährleisten, werden wir daran arbeiten, Passwörter proaktiv von der Rechtschreibprüfung auszuschließen.“ fuhr Google in seiner mit uns geteilten Erklärung fort.

„Wir schätzen die Zusammenarbeit mit der Sicherheits-Community und suchen immer nach Möglichkeiten, die Privatsphäre der Benutzer und sensible Informationen besser zu schützen.“

Wie bei Edge ist Microsoft Editor Spelling & Grammar Checker ein Browser-Addon, das explizit installiert werden muss, damit dieses Verhalten stattfindet.

BleepingComputer hat Microsoft lange vor der Veröffentlichung kontaktiert. Uns wurde gesagt, dass die Angelegenheit geprüft wird, aber wir haben noch keine Rückmeldung.

otto-js nannte den Angriffsvektor „Spelljacking“ und äußerte sich besorgt über Nutzer von Cloud-Diensten wie Office 365, Alibaba Cloud, Google Cloud – Secret Manager, Amazon AWS – Secrets Manager und LastPass.

Als Reaktion auf den Bericht von otto-js haben sowohl AWS als auch LastPass das Problem entschärft. Im Fall von LastPass wurde Abhilfe durch das Hinzufügen eines einfachen HTML-Attributs erreicht rechtschreibprüfung=”false” zum Passwortfeld:

Lastpass-Passwortfeld
Das „Kennwort“-Feld von LastPass enthält jetzt das HTML-Attribut „spellcheck=false“. (Piepender Computer)

Wenn das HTML-Attribut „spellcheck“ in Formulartext-Eingabefeldern weggelassen wird, wird es normalerweise von Webbrowsern standardmäßig als wahr angenommen. Ein Eingabefeld, bei dem die Rechtschreibprüfung explizit aktiviert ist FALSCH werden nicht von der Rechtschreibprüfung eines Webbrowsers verarbeitet.

„Unternehmen können das Risiko mindern, die PII ihrer Kunden zu teilen – indem sie allen Eingabefeldern ‚spellcheck=false‘ hinzufügen, was jedoch zu Problemen für die Benutzer führen könnte“, erklärt otto-js und weist darauf hin, dass Benutzer dies nun nicht mehr können ihren eingegebenen Text durch die Rechtschreibprüfung laufen zu lassen.

„Alternativ könnten Sie es nur zu den Formularfeldern mit sensiblen Daten hinzufügen. Unternehmen können auch die Möglichkeit zum ‚Passwort anzeigen‘ entfernen. Das wird Spelljacking nicht verhindern, aber es wird verhindern, dass Benutzerkennwörter gesendet werden.”

Ironischerweise haben wir beobachtet, dass das Anmeldeformular von Twitter, das mit der Option „Passwort anzeigen“ ausgestattet ist, das HTML-Attribut „Spellcheck“ des Passwortfelds explizit auf „true“ gesetzt hat:

Twitter-Rechtschreibprüfungsfeld
Im Twitter-Passwortfeld sind „Passwort anzeigen“ und die Rechtschreibprüfung auf „true“ gesetzt (Piepender Computer)

Als zusätzlichen Schutz können Chrome- und Edge-Benutzer die erweiterte Rechtschreibprüfung deaktivieren (indem sie die oben genannten Schritte befolgen) oder das Microsoft Editor-Add-on aus Edge entfernen, bis beide Unternehmen die erweiterte Rechtschreibprüfung überarbeitet haben, um die Verarbeitung sensibler Felder wie Passwörter auszuschließen.

Leave a Comment

Your email address will not be published.