Tính năng kiểm tra chính tả nâng cao trên Chrome, Edge thu thập cả mật khẩu của bạn

Tính năng kiểm tra chính tả nâng cao trên trình duyệt Google Chrome và Microsoft Edge truyền dữ liệu biểu mẫu, bao gồm thông tin nhận dạng cá nhân (PII) và trong một số trường hợp là cả mật khẩu tới Google và Microsoft.

Mặc dù đây là một tính năng đã được biết đến và nằm trong sự tính toán của các trình duyệt này nhưng nó làm dấy lên lo ngại về điều gì sẽ xảy ra với dữ liệu sau khi truyền và mức độ an toàn của hoạt động này, đặc biệt là khi nói về các trường mật khẩu.

Cả Chrome và Edge đều được kích hoạt tính năng kiểm tra chính tả cơ bản. Tuy nhiên, tính năng kiểm tra chính tả nâng cao của Chrome hoặc Microsoft Editor khi được kích hoạt thủ công sẽ gây ra nguy cơ tiềm ẩn về quyền riêng tư này.

Spell-jacking

Khi sử dụng các trình duyệt web phổ biến như Chrome và Edge, dữ liệu bạn nhập vào các biểu mẫu sẽ được truyền tới Google và Microsoft nếu như tính năng kiểm tra chính tả nâng cao được bật.

Tùy thuộc vào trang web bạn truy cập, dữ liệu nhập vào biểu mẫu có thể bao gồm PII, bao gồm nhưng không tioiws hạn Số an sinh xã hội (SSNs)/Số bảo hiểm xã hội (SIN), tên, địa chỉ, ngày sinh (DOB), thông tin liên hệ, thông tin ngân hàng và thanh toán...

Josh Summitt, đồng sáng lập kiêm CTO của công ty bảo mật JavaScript otto-js đã phát hiện ra vấn đề này khi kiểm tra khả năng phát hiện hành vi script của sản phẩm mà công ty anh tạo ra.

Trong trường hợp tính năng Enhanced Spellcheck của Chrome hoặc Microsoft Editor của Edge được bật, về cơ bản bất cứ thứ gì được nhập vào các trường biểu mẫu của các trình duyệt này đều được truyền tới Google và Microsoft.

"Hơn nữa, nếu bạn nhấp vào "hiển thị mật khẩu", tính năng kiểm tra chính tả nâng cao thậm chí còn gửi cả mật khẩu của bạn cho Google và Microsoft. Về cơ bản, dữ liệu của bạn bị Spell-jacking", otto-js giải thích.

"Một số trang web lớn nhất trên thế giới có hành vi gửi PII nhạy cảm của người dùng tới Google và Microsoft bao gồm tên người dùng, email và mật khẩu, khi người dùng đăng nhập hoặc điền vào biểu mẫu. Điều này thậm chí còn nguy hiểm hơn với các doanh nghiệp khi mà thông tin đăng nhập vào các tài sản bội bộ và cơ sở hạ tầng quan trọng có thể bị rò rỉ".

Giải pháp

Mặc dù việc truyền dữ liệu được diễn ra an toàn qua HTTPS nhưng không rõ điều gì sẽ xảy ra với các dữ liệu nhạy cảm của người dùng khi nó đến tay của bên thứ ba, trong trường hợp này là máy chủ của Google.

Chia sẻ với BleepingComputer, người phát ngôn của Google lưu ý rằng người dùng có thể chọn tham gia hoặc không tham gia tính năng kiểm tra chính tả nâng cao. Để xem lại xem bạn có bật tính năng kiểm tra chính tả nâng cao trên Chrome hay không, hãy sao chép link sau vào thanh địa chỉ của bạn rồi nhấn Enter. Sau đó bạn có thể bật hoặc tắt tính năng kiểm tra chính tả nâng cao:

chrome://settings/?search=Enhanced+Spell+Check

Đại diện Google chia sẻ thêm rằng văn bản do người dùng nhập có thể là thông tin nhạy cảm nên Google sẽ không gắn thông tin đó với bất kỳ danh tính người dùng nào mà chỉ tạm thời xử lý trên máy chủ của họ. Để đảm bảo quyền riêng tư cao hơn nữa, Google sẽ chủ động loại trừ mật khẩu ra khỏi trình kiểm tra chính tả.

Do Microsoft Editor là một addon nên người dùng sẽ phải chủ động cài đặt thì hành vi thu thập dữ liệu mới diễn ra. Microsoft hiện chưa đưa ra bất cứ bình luận nào.

Trước báo cáo của otto-js, các ông lớn như AWS và LastPass đã có những biện pháp giảm thiểu. Trong trường hợp của LastPass, một thuộc tính HTML đơn giản là spellcheck = "false" đã được thêm vào trường mật khẩu. Các công ty khác cũng có thể làm điều tương tự nhưng theo dõi của BleepingComputer cho thấy cả Twitter và Alibaba và đều chưa thực hiện.

Trong khi chờ đợi tất cả các hãng đưa ra hành động hợp lý, người dùng hãy tự bảo vệ bản thân bằng cách tắt chế độ kiểm tra chính tả nâng cao trên Chrome theo hướng dẫn ở trên. Nếu dùng Microsoft Edge, bạn không nên sử dụng addon Microsoft Editor, nếu đã cài thì nên gỡ bỏ.