Google Chrome en Microsoft Edge bieden beide een verbeterde spellingcontrolefunctie die automatisch verkeerd gespelde woorden detecteert en corrigeert. Hoewel de functie nuttig en handig lijkt, toont recent onderzoek aan dat deze ernstige privacyrisico's kan opleveren.
Wanneer ze handmatig zijn ingeschakeld, sturen zowel Chrome's Verbeterde spellingcontrole als Microsoft Editor uw formuliergegevens terug naar hun moederbedrijven, waardoor de gegevens in wezen worden gespeld.
Wat is spell-jacking?
Spelljacking verwijst naar de blootstelling van persoonlijk identificeerbare informatie (PII) via Verbeterde spellingcontrolefunctie in Chrome En Microsoft-editor.
Onderzoek door het JavaScript-beveiligingsbedrijf otto-js ontdekte dat alle gegevens die in een formulierveld waren ingevoerd, werden verzonden naar servers van derden van Google en Microsoft wanneer de verbeterde spellingcontrolefunctie was ingeschakeld.
Afhankelijk van de websites die u bezoekt, kan de gelekte informatie bestaan uit gebruikersnaam, wachtwoord, adres, geboortedatum, burgerservicenummer (SSN), bank- en betalingsgegevens en meer.
Hoewel beide functies standaard zijn uitgeschakeld, is het zorgwekkend hoe gemakkelijk deze zijn in te schakelen en de meeste gebruikers schakelen ze in zonder te beseffen wat er op de achtergrond gebeurt.
Wie loopt er gevaar?
otto-js identificeerde de top vijf online services die risico lopen door dit beveiligingslek. Ze omvatten de Cloud Service van Alibaba, Office 365, AWS Secret Manager, Google Cloud Secret Manager en LastPass. Zowel AWS als LastPass hebben naar verluidt het probleem verholpen, terwijl Google het voor sommige van zijn services heeft aangepakt.
Het zijn echter niet alleen zakelijke gebruikers die risico lopen. otto-js testte meer dan 50 websites die mensen vaak gebruiken en die toegang hebben tot gevoelige informatie. Het brak 30 van die websites in zes categorieën en selecteerde de top vijf websites per categorie om een maatstaf te creëren voor de frequentie en intensiteit van de blootstelling. De zes categorieën omvatten:
- Online bankieren
- Gezondheidszorg
- Cloud Office-tools
- Regering
- Sociale media
- E-commerce
In de controlegroep van 30 geteste websites ontdekte otto-js dat ongeveer 97 procent gevoelige gebruikersgegevens terugstuurde naar Google en Microsoft wanneer de spellingcontrole was ingeschakeld.
Bovendien stuurde meer dan 73 procent van de websites wachtwoorden naar de bedrijven wanneer gebruikers op 'wachtwoord weergeven' klikten.
Dit vormt een aanzienlijk beveiligingsprobleem voor bedrijfsreferenties en beveiliging aan de clientzijde.
Hoe betovering van spreuken te verminderen
De beste manier om uw inloggegevens te beschermen is door een veilige wachtwoordbeheerder, een goed antivirusprogramma, en uw verkeer versleutelen met een VPN. In dit geval zijn normale cyberbeveiligingspraktijken echter niet voldoende.
Een manier om de blootstelling voor bedrijven te minimaliseren, is door "spellcheck=false" toe te voegen aan invoervelden die persoonlijke informatie vereisen. Hierdoor worden die velden effectief geblokkeerd voor spellingcontroletools, wat betekent dat spellingcontrole voor die vermeldingen wordt uitgeschakeld.
Een andere manier waarop bedrijven de impact van spell-jacking kunnen verminderen, is door de functie "Wachtwoord weergeven" voor gebruikers uit te schakelen. Dit stopt spell-jacking niet, maar voorkomt wel dat wachtwoorden van gebruikers worden verzonden.
Bedrijven kunnen ook eindpuntbeveiligingsoplossingen implementeren die spellingcontrolefuncties kunnen uitschakelen en voorkomen dat hun werknemers gecompromitteerde browserextensies installeren.
Voor individuele gebruikers kunt u als volgt de verbeterde spellingcontrole in Chrome- en Edge-browsers uitschakelen:
Google Chrome
De eenvoudigste manier om te voorkomen dat uw persoonlijke gegevens naar Google worden verzonden, is door de verbeterde spellingcontrole voorlopig te verwijderen. U kunt de functie in uw Chrome-instellingen uitschakelen door deze stappen uit te voeren:
- Klik op de drie puntjes in de rechterbovenhoek van uw browser en selecteer Instellingen.
- Scroll naar beneden en klik Geavanceerd om aanvullende instellingen te bekijken.
- Selecteer Talen uit de opties die aan de linkerkant van het scherm verschijnen.
- Onder de Spellingscontrole sectie, verwijder het vinkje bij de Verbeterde spellingcontrole keuze.
U kunt de pagina ook openen door simpelweg de volgende link in de adresbalk van uw browser te plakken en op Enter te drukken:
chroom://settings/?search=Enhanced+Spell+Check
Microsoft Rand
Voor Microsoft Edge-gebruikers wordt de spellingcontrole geleverd als een browser-add-on. Naar verwijder de extensie uit uw browser, klik met de rechtermuisknop op het pictogram van de extensie en kies 'Verwijderen uit Microsoft Edge'.
Als u het pictogram niet kunt vinden op de startpagina van uw browser, kunt u naar de extensiebibliotheek gaan en het daar verwijderen. Klik gewoon op "Extensies" rechts van de adresbalk van de browser om extensies te vinden. Selecteer "Meer acties" naast de extensie die u wilt verwijderen en klik op "Verwijderen uit Microsoft Edge".
En zo houd je je persoonlijke gegevens voorlopig veilig.