Google y  Microsoft pueden obtener tus contraseñas a través del corrector ortográfico del navegador

Las funciones extendidas de revisión ortográfica en los navegadores web Google Chrome y Microsoft Edge transmiten datos de formulario, incluida información de identificación personal (PII) y, en algunos casos, contraseñas, a Google y Microsoft respectivamente.

Si bien esta puede ser una función conocida e intencionada de estos navegadores web, genera dudas. Esta función produce  inquietudes sobre lo que sucede con los datos después de la transmisión y qué tan segura podría ser la práctica, particularmente cuando se trata de campos de contraseña.

Tanto Chrome como Edge incluyen correctores ortográficos básicos habilitados. Sin embargo, características como el corrector ortográfico mejorado de Chrome o el editor de Microsoft, cuando el usuario las habilita manualmente, presentan este riesgo potencial para la privacidad.

Spell-jacking: Tu corrector ortográfico envía información personal a las grandes compañías tecnológicas

Cuando utilizas los principales navegadores web como Chrome y Edge, los datos de tu formulario se transmiten a Google y Microsoft, respectivamente. Esto ocurre en caso de que se activen las funciones mejoradas de revisión ortográfica.

Según el sitio web que visites, los datos del formulario pueden incluir información personal crítica. Por ejemplo,  Números de Seguro Social, nombre, dirección, correo electrónico, fecha de nacimiento, información de contacto, información bancaria y de pago, y así sucesivamente.

Josh Summitt, cofundador y director de tecnología de la empresa de seguridad de JavaScript otto-js, descubrió este problema. Él lo descubrió mientras probaba la detección de comportamientos de scripts de su empresa.

En los casos en los que Enhanced Spell check Chrome o Microsoft Editor (spellchecker) de Edge estaban habilitados, “básicamente cualquier cosa” ingresada en los campos de formulario de estos navegadores se enviaba a Google y Microsoft.

“Además, si haces clic en ‘mostrar contraseña’, el corrector ortográfico mejorado incluso envía tu contraseña, esencialmente es un Spell Jacking a tus datos”. 

“Algunos de los sitios web más grandes del mundo están expuestos al envío de información confidencial de usuarios de Google y Microsoft. Esto incluye el nombre de usuario, el correo electrónico y las contraseñas. Específicamente, ocurre cuando los usuarios inician sesión o completan formularios. Una preocupación aún más importante para las empresas es la exposición que esto presenta a las credenciales empresariales de la empresa a los activos internos como bases de datos e infraestructura en la nube”.

Explicación de otto-js en la publicación

Mostrar contraseña

Los usuarios a menudo confían en la opción “mostrar contraseña” en sitios donde no se permite copiar y pegar contraseñas, por ejemplo. También pueden hacerlo cuando sospechan que la han escrito mal.

Para demostrarlo, otto-js compartió el ejemplo de un usuario que ingresa sus credenciales en la plataforma Cloud de Alibaba en el navegador web Chrome. No obstante, se puede usar cualquier sitio web para esta demostración.

Con el corrector ortográfico mejorado habilitado, y suponiendo que el usuario haya tocado la función “mostrar contraseña”, los campos del formulario, incluidos el nombre de usuario y la contraseña, se transmiten a Google en googleapis.com.

La compañía también compartió un video de demostración que puedes ver a continuación:

Investigadores también observaron que las credenciales también se envían a Google en otras pruebas en donde usaron Chrome para visitar sitios importantes como:

• CNN: tanto el nombre de usuario como la contraseña cuando se usa ‘mostrar contraseña’
• Facebook.com: nombre de usuario y contraseña al usar ‘mostrar contraseña’
• Bank of America: solo campo de nombre de usuario
• Verizon: solo campo de nombre de usuario

Soluciones

Aunque la transmisión de los campos del formulario se realiza de forma segura a través de HTTPS, es posible que no esté muy claro qué sucede con los datos del usuario una vez que llegan al tercero. En este ejemplo, el servidor de Google.

“La función de revisión ortográfica mejorada requiere una aceptación por parte del usuario”, confirmó un portavoz de Google. Ten en cuenta que esto contrasta con el corrector ortográfico básico que está habilitado en Chrome de forma predeterminada y no transmite datos a Google”

Para revisar si el corrector ortográfico mejorado está habilitado en tu navegador Chrome, debes copiar y pegar el siguiente enlace en tu barra de direcciones. A continuación, puedes optar por activarlo o desactivarlo:

chrome://settings/?search=Enhanced+Spell+Check

Como puedes ver en la captura de pantalla, la descripción de la función establece explícitamente que con el corrector ortográfico mejorado habilitado, “el texto que escribes en el navegador se envía a Google”.

“El texto escrito por el usuario puede ser información personal confidencial y Google no lo adjunta a ninguna identidad de usuario y solo lo procesa en el servidor temporalmente. Para garantizar aún más la privacidad del usuario, trabajaremos para excluir las contraseñas de manera proactiva del corrector ortográfico”. 

“Apreciamos la colaboración con la comunidad de seguridad y siempre estamos buscando formas de proteger mejor la privacidad del usuario y la información confidencial”. Declaración de Google al ser consultada sobre la investigación. 

En cuanto a Edge, Microsoft Editor Spelling y Grammar Checker es un complemento del navegador que debe instalarse explícitamente para que se produzca este comportamiento.

Investigadores contactaron a Microsoft con mucha anticipación antes de la publicación. Microsoft dijo que el asunto estaba siendo investigado, pero aún no hemos recibido noticias.

Una solución HTML simple: ‘spellcheck=false’

otto-js denominó el vector de ataque “Spell-jacking” y expresó su preocupación por los usuarios de servicios en la nube como Office 365, Alibaba Cloud, Google Cloud – Secret Manager, Amazon AWS – Secrets Manager y LastPass.

En respuesta al informe de otto-js, tanto AWS como LastPass mitigaron el problema. En el caso de LastPass, llegó a la solución agregando un simple atributo HTML Spellcheck="false" al campo de la contraseña:

Los navegadores web suelen suponer que el atributo HTML ‘spellcheck’ cuando se deja fuera de los campos de entrada de texto del formulario es verdadero de forma predeterminada. Un campo de entrada con ‘spellcheck’ establecido explícitamente en falso no se procesa a través del corrector ortográfico de un navegador web.

“Las empresas pueden mitigar el riesgo de compartir la información personal de sus clientes agregando 'spellcheck=false' a todos los campos de entrada, aunque esto podría crear problemas para los usuarios”.

Esto por el hecho de que los usuarios ahora ya no podrán analizar su texto ingresado a través del corrector ortográfico.

Alternativamente, puedes agregarlo solo a los campos del formulario con datos confidenciales. Las empresas también pueden eliminar la capacidad de ‘mostrar contraseña’. Eso no evitará el spell-jacking, pero evitará que se envíen las contraseñas de los usuarios.

Irónicamente, observamos que el formulario de inicio de sesión de Twitter, que viene con la opción “mostrar contraseña”, tiene el atributo HTML “spellcheck” del campo de contraseña establecido explícitamente en verdadero:

Como protección adicional, los usuarios de Chrome y Edge pueden desactivar el corrector ortográfico mejorado (siguiendo los pasos mencionados anteriormente). Alternativamente, puedes eliminar el complemento Microsoft Editor de Edge hasta que ambas compañías hayan revisado los correctores ortográficos mejorados para excluir el procesamiento de campos confidenciales, como contraseñas.

Conclusión

Si bien Google y Microsoft son empresas confiables, es posible que no desees que recopilen información sobre ti, y lo más probable es que no desees que estas funciones envíen contraseñas. 

Las contraseñas están destinadas a ser un secreto que compartes con la parte que deseas y con nadie más.