Google Chrome og Microsoft Edge tilbyder begge en forbedret stavekontrolfunktion, der automatisk registrerer og retter forkert stavede ord. Selvom funktionen kan virke nyttig og praktisk, viser nyere forskning, at den kan udgøre alvorlige privatlivsrisici.
Når den er aktiveret manuelt, sender både Chromes Enhanced Spellcheck og Microsoft Editor dine formulardata tilbage til deres moderselskaber, hvilket i det væsentlige staver dataene.
Hvad er spell-jacking?
Spell-jacking refererer til eksponeringen af personligt identificerbare oplysninger (PII). Forbedret stavekontrolfunktion i Chrome og Microsoft Editor.
Forskning foretaget af JavaScript-sikkerhedsfirmaet otto-js fandt ud af, at alle de data, der blev indtastet i et hvilket som helst formularfelt, blev overført til Google og Microsofts tredjepartsservere, når den udvidede stavekontrol-funktion blev aktiveret.
Afhængigt af de websteder, du besøger, kan de lækkede oplysninger omfatte brugernavn, adgangskode, adresse, fødselsdato, personnummer (SSN), bank- og betalingsoplysninger og mere.
Selvom begge funktioner er slået fra som standard, handler det om, hvor nemme disse er at aktivere, og de fleste brugere aktiverer dem uden at være klar over, hvad der sker i baggrunden.
Hvem er i fare?
otto-js identificerede de fem bedste onlinetjenester, der er udsat for denne sikkerhedsfejl. De inkluderer Alibabas Cloud Service, Office 365, AWS Secret Manager, Google Cloud Secret Manager og LastPass. Både AWS og LastPass har angiveligt afbødet problemet, mens Google har rettet det for nogle af dets tjenester.
Det er dog ikke virksomhedsbrugere alene, der er i fare. otto-js testede mere end 50 websteder, som folk ofte bruger, og som har adgang til følsomme oplysninger. Det opdelte 30 af disse websteder i seks kategorier og udvalgte de fem bedste websteder pr. kategori for at skabe et benchmark for eksponeringens hyppighed og intensitet. De seks kategorier omfatter:
- Netbank
- Sundhedspleje
- Cloud Office-værktøjer
- Regering
- Sociale medier
- E-handel
I kontrolgruppen på 30 testede websteder fandt otto-js, at omkring 97 procent sendte følsomme brugerdata tilbage til Google og Microsoft, når stavekontrolfunktionerne var aktiveret.
Ydermere sendte over 73 procent af hjemmesiderne adgangskoder til virksomhederne, når brugerne klikkede på "vis adgangskode."
Dette udgør et væsentligt sikkerhedsproblem for virksomhedens legitimationsoplysninger og sikkerhed på klientsiden.
Sådan afbødes staveovergreb
Den bedste måde at beskytte dine loginoplysninger på er ved at bruge en sikker adgangskodehåndtering, et godt antivirusprogram, og kryptering af din trafik med en VPN. Normal cybersikkerhedspraksis er dog ikke nok i dette tilfælde.
En måde at minimere eksponeringen for virksomheder er at inkludere "stavekontrol=falsk" i inputfelter, der kræver personlige oplysninger. Dette vil effektivt blokere disse felter fra stavekontrolværktøjer, hvilket betyder, at stavekontrol vil være deaktiveret for disse indtastninger.
En anden måde virksomheder kan afbøde virkningen af spell-jacking er ved at deaktivere "vis adgangskode"-funktionen for brugere. Dette vil ikke stoppe stave-jacking, men det vil forhindre brugernes adgangskoder i at blive sendt.
Virksomheder kan også implementere slutpunktsikkerhedsløsninger, der kan deaktivere stavekontrolfunktioner og forhindre deres medarbejdere i at installere kompromitterede browserudvidelser.
For individuelle brugere, her er, hvordan du kan deaktivere den forbedrede stavekontrolfunktion i Chrome- og Edge-browsere:
Google Chrome
Den nemmeste måde at beskytte dine personlige data mod at blive sendt til Google er ved at fjerne den forbedrede stavekontrol for øjeblikket. Du kan deaktivere funktionen i dine Chrome-indstillinger ved at udføre disse trin:
- Klik på tre prikker i øverste højre hjørne af din browser og vælg Indstillinger.
- Rul ned og klik Fremskreden for at se yderligere indstillinger.
- Vælg Sprog fra de muligheder, der vises til venstre på skærmen.
- Under Stavekontrol sektionen skal du fjerne markeringen i Forbedret stavekontrol mulighed.
Du kan også få adgang til siden ved blot at indsætte følgende link i din browsers adresselinje og trykke på Enter:
krom://settings/?search=Enhanced+Spell+CheckMicrosoft Edge
For Microsoft Edge-brugere kommer stavekontrollen som en browsertilføjelse. Til fjern udvidelsen fra din browser, højreklik på ikonet for udvidelsen og vælg "Fjern fra Microsoft Edge."
Hvis du ikke kan finde ikonet på din browsers hjemmeside, kan du gå til udvidelsesbiblioteket og fjerne det derfra. Du skal blot klikke på "Udvidelser" til højre for browserens adresselinje for at finde udvidelser. Vælg "Flere handlinger" ud for den udvidelse, du vil fjerne, og klik på "Fjern fra Microsoft Edge".
Og det er sådan, du holder dine personlige data sikre indtil videre.
