Verificação ortográfica do Chrome e Edge podem coletar senhas de usuários

O recurso de verificação ortográfica aprimorada presente no Google Chrome e no Microsoft Edge transmitem dados de formulários, incluindo informações pessoais identificáveis (PII) e, em alguns casos, senhas, às proprietárias dos respectivos navegadores web, de acordo com a descoberta de uma empresa de segurança durante um teste de script da companhia.

A coleta de dados depende dos sites que o usuário visita e se o recurso estiver ativado nesses navegadores. Vários dados como Números de Previdência Social/ Números de Seguro Social, nome, endereço, e-mail, data de nascimento, informações de contato, informações bancárias e de pagamento, e assim por diante.

Imagem: Shutterstock

De acordo com o cofundador e CTO da empresa de segurança de JavaScript Otto-js, Josh Summitt, a quem se deve os créditos pela descoberta da falha de segurança, tanto no Chrome Enhanced Spellcheck quanto o Editor do Microsoft Edge (corretor ortográfico) quando habilitados, coletam e entregam “basicamente qualquer coisa” inserida nos campos de formulários para o Google e Microsoft.

“Além disso, se você clicar em ‘mostrar senha’, o corretor ortográfico aprimorado até mesmo envia sua senha, essencialmente a correção ortográfica de seus dados”, explica a Otto-js em um post de blog.

“Alguns dos maiores sites do mundo têm exposição ao envio de PII de usuários sensíveis do Google e da Microsoft, incluindo nome de usuário, e-mail e senhas, quando os usuários fazem login ou quando preenchem formulários. Uma preocupação ainda mais significativa para as empresas é a exposição que isso representa para as credenciais empresariais da companhia a ativos internos como bancos de dados e infraestrutura de nuvem”.

Imagem: Otto-js

Opção ‘mostrar senha’

Alguns usuários frequentemente podem recorrer ao recurso ‘mostrar senha’ quando um site solicita a confirmação dela sem que seja permitido ‘copiar e colar’, por exemplo. Caso a verificação ortográfica aprimorada esteja ativada no Chrome, assumindo que o usuário tenha clicado em ‘mostrar senha’, os campos do formulário destinado ao nome de usuário e a senha serão transmitidos ao site googleapis.com, pertencente ao Google.

Imagem: Otto-js

Como realizada na demonstração acima usando credenciais na plataforma de nuvem do Alibaba, cuja captura de tela foi compartilhada pela Otto-js. É importante lembrar que as credenciais digitadas seriam coletadas pelas empresas independentemente do site acessado, como no vídeo abaixo que usa o site da AWS, nuvem pertencente à Amazon.

Em testes realizados pela BleepingComputer, ao usar ‘mostrar senha’, as credenciais de sites como CNN e Facebook.com foram transmitidas ao Google usando o Chrome. O mesmo não ocorreu com o SSA.gov, Bank of America e Verizon – nestes apenas o campo de nome de usuário foi transmitido.

Solução simples de HTML: ‘spellcheck=false’

Embora os dados sejam transmitidos em uma conexão segura (HTTPS), não se sabe o que acontece quando esses dados chegam aos servidores dessas empresas da Big Tech.

Segundo um porta-voz do Google, “o recurso de verificação ortográfica aprimorada requer uma opção de inclusão do usuário”. Algo que não acontece com o corretor básico, habilitado no Chrome por padrão e que não transmite dados ao Google. Na captura de tela compartilhada pela BleepingComputer, o Google esclarece logo abaixo da opção de verificação ortográfica aprimorada que “o texto que você digita no navegador é enviado ao Google”.

Ainda de acordo com o porta-voz do Google, a empresa garante que “não a anexa a nenhuma identidade de usuário e só a processa no servidor temporariamente”, ao considerar que usuários podem ter digitado uma informação pessoal sensível no campo. “Estaremos trabalhando para excluir as senhas proativamente da verificação ortográfica”, prometeu a empresa em um comunicado à BleepingComputer.

Microsoft Editor Spelling & Grammar Checker

Já no Edge, o corretor ortográfico aprimorado trata-se de um complemento de navegador (add-on) que necessita ser instalado explicitamente para que esse tipo de comportamento ocorra.

De acordo com a Microsoft, a problema já estava sendo investigado, embora não houve qualquer posicionamento posterior a respeito do assunto.

Ataque Spell-jacking

O vetor de ataque apelidado por ‘Spell-jacking’ pela Otto é preocupante para usuários de serviços em nuvem como Office 365, Alibaba Cloud, Google Cloud – Secrets Manager, Amazon AWS – Secrets Manager e LastPass. Quando o atributo HTML ‘spellcheck’ é omitido pelo campo de entrada de texto do formulário, os navegadores web assumem como verdadeiro por padrão.

Entretanto, se o campo de entrada com ‘verificação ortográfica’ explicitamente definido como falso, ele não será processado pelo corretor ortográfico do navegador. “As empresas podem mitigar o risco de compartilhar o PII de seus clientes — adicionando ‘spellcheck=false’ em todos os campos de entrada, embora isso possa criar problemas para os usuários”, explica a Otto-js referindo-se ao fato de os usuários não poderem mais executar o texto inserido pelo verificador ortográfico.

“Alternativamente, você poderia adicioná-lo apenas aos campos do formulário com dados sensíveis”. As empresas também podem remover a capacidade de ‘mostrar senha’. Isso não impedirá que se use o corretor ortográfico, mas impedirá que as senhas dos usuários sejam enviadas”.

Salvaguarda adicional

Os usuários dos navegadores citados podem desativar a Verificação Ortográfica Aprimorada nos passos abaixo, no caso do Chrome; ou remover o add-on Editor do Microsoft Edge até que ambas as empresas tenham revisado para excluir o processamento de campos sensíveis, como senhas.