As empresas Google e Microsoft deram um grande passo em relação a segurança e a privacidade, ao adotar o modelo aberto para o desenvolvimento dos navegadores WEB Chrome e Edge, com bases em licenças de código-aberto (com destaque para aquelas compatíveis com as liberdades do Software Livre). Através do código-fonte (disponível para qualquer um que queira baixar), podemos realizar auditorias para buscar por falhas e vulnerabilidades, que possam comprometer a sua segurança. Ainda assim, nem todos os problemas serão resolvidos…
“Chrome’s enhanced spellcheck & Edge’s MS Editor are sending data you enter into form fields like username, email, DOB, SSN, basically anything in the fields, to sites you’re logging into from either of those browsers when the features are enabled. Furthermore, if you click on “show password,” the enhanced spellcheck even sends your password, essentially Spell-Jacking your data.”
— by otto-js.
Após receberem aperfeiçoamentos, os corretores ortográficos destes navegadores (que são baseados no Projeto Chromium) passaram a apresentar um aspecto bastante “peculiar”: eles estão enviando todos as informações que inserimos em campos de formulário, como o endereço de e-mail, as IDs (nos EUA, o Número da Segurança Social) e a data de nascimento, entre outros dados pessoais para os sites que estão navegando. Para variar, se os usuários utilizarem a visualização de senhas, ela também será enviada para o site em questão, uma vez que esta informação se tornará um texto simples como qualquer outro no formulário!
O cofundador e CTO da otto-js (Josh Summitt) descobriu o vazamento em questão, ao realizar testes para a detecção de comportamentos de script. Ao pesquisar por vazamentos de dados em diferentes navegadores, foi encontrada uma combinação de recursos que uma vez ativados, expõem desnecessariamente os dados confidenciais a terceiros como o Google e a Microsoft. O aspecto mais preocupante é que tais recursos são fáceis de habilitar e a maioria dos usuários certamente irá utilizá-los, mesmo sem se darem conta dos riscos que estarão se submetendo, com os processos em execução em segundo plano. Eis, o Spell-Jacking!
A empresa já testou mais de 50 sites, dividindo 30 deles em um grupo de controle que abrange seis categorias, os quais são utilizados regularmente e que acessam os seus dados confidenciais. Irônicamente, o único grupo que mitigou o problema de forma parcial foi o Google, pois alguns dos seus serviços ainda continuam comprometidos (como o Google Cloud). Para mitigar o Spell-Jacking, bastará que as empresas insiram nas páginas WEB, a entrada “spellcheck=false” a todos os campos para a entrada de dados. Já por parte dos navegadores afetados, a desativação dos recursos de ortografia aprimorados também resolve.
Curiosidade: porque o Firefox e os demais navegadores, não são citados? &;-D
Atualização: outros serviços também promoveram mitigações para a falha em questão: Office 365 (Microsoft), Cloud Service (Alibaba), AWS – Secrets Manager (Amazon) e LastPass.