Una investigación reciente del equipo de investigación de otto-js ha descubierto un grave problema. Los datos que se comprueban tanto en el Editor de Microsoft como en el corrector ortográfico mejorado de Google Chrome se envían a Microsoft y a Google respectivamente. Estos datos pueden incluir de todo. Desde nombres de usuario, correos electrónicos, fecha de nacimiento, número de seguro social. Básicamente, cualquier cosa que se escriba en un cuadro de texto que sea comprobado por estas funciones.
Como nota adicional, incluso las contraseñas pueden ser enviadas por este medio. Pero sólo cuando se pulsa el botón «Mostrar contraseña», que convierte la contraseña en texto visible, que luego se comprueba.
Google y Microsoft exponen nuestras contraseñas
El problema clave se resuelve en torno a la información sensible de identificación personal del usuario (PII). Y esto es una preocupación clave para las credenciales de la empresa cuando se accede a las bases de datos internas y la infraestructura de la nube. En las imágenes que se muestran a continuación, compartidas por otto-js, se puede ver a un usuario iniciando sesión en Alibaba Cloud, con sus datos compartidos con Google.
Algunas empresas ya están tomando medidas para evitarlo. Tanto los equipos de seguridad de AWS como los de LastPass han confirmado que lo han mitigado con una actualización. El problema ya ha sido bautizado como ‘spell-jacking’. Lo más preocupante es que estos ajustes son tan fáciles de habilitar por los usuarios. Y podrían dar lugar a la exposición de datos sin que nadie se dé cuenta. El equipo de otto-js realizó una prueba con 30 sitios web de diversos sectores. Descubriendo que el 96,7% de ellos enviaban datos con PII a Google y Microsoft.
Curiosamente, el único sitio web que había mitigado el problema de este grupo era el propio Google, pero sólo para algunos servicios y no para todos sus productos que se probaron. Por el momento, el equipo de investigación de otto-js recomienda no utilizar estas extensiones y configuraciones hasta que se resuelva este problema.
No queríais Chromium??? Pues ahí lo tenéis.
Esto con Edge original no pasaba.