Компанія otto-js займається забезпеченням безпеки JavaScript. Її співробітники встановили, що функція перевірки орфографії, яка присутня у веб-оглядачах Edge і Chrome, може передавати Microsoft та Google користувацькі дані, зокрема паролі.
Подробиці
Варто зазначити, що за замовчуванням у зазначених вище браузерах активована звичайна опція верифікації орфографії. Вона працює штатно. Позбутися паролів при її використанні не можна. Баг виявили фахівці otto-js у функції розширеної перевірки правопису, яка активується користувачами вручну. За словами експертів, цей факт створює загрозу для конфіденційності.
Проведений авторами дослідження експеримент засвідчив, що під час активованої функції розширеної верифікації орфографії дані з форм, які заповнюють користувачі, надсилають на сервери, які належать Microsoft і Google. Може йтися про передачу таких даних, як email, контактна інформація, домашня адреса, номер страхового поліса, банківські реквізити, дата народження тощо. Якщо під час входу в обліковий запис натиснути на кнопку “Показати пароль”, то браузер одразу передасть його на сервер. У випадку з Google Chrome пароль буде надіслано на адресу googleapis.com.