Noticias
Google Chrome y Microsoft Edge filtran contraseñas a través del corrector ortográfico
Google Chrome y Microsoft Edge introdujeron no hace mucho correctores ortográficos más poderosos que deberían contribuir a una mejor redacción, sin embargo, según el equipo de investigación de otto-js, estos también se han revelado como mecanismos que permiten enviar a las dos corporaciones datos sensibles como direcciones de email, nombres de usuario, fechas de nacimiento, números de la seguridad social, información de contacto, datos de pago, otros datos identificativos sensibles (como el DNI en España) e incluso la contraseña en caso de emplear la característica que permite mostrarla.
otto-js ha descubierto que, dependiendo del sitio web que visite el usuario (o sea, que el filtrado no se produce con todos los sitios web), el corrector ortográfico mejorado de Google Chrome y Microsoft Editor de Edge (también un corrector ortográfico mejorado) son capaces de enviar a las compañías responsables prácticamente cualquier dato que el usuario introduzca en los formularios.
El correo electrónico no es que sea algo especialmente comprometedor sin la contraseña y si se emplea una fuerte que resulte difícil de romper mediante fuerza bruta (más de una decena de caracteres y combinando letras, números y caracteres extraños), pero no es un plato de buen gusto que datos como la contraseña, el DNI, el número de la seguridad social y los de pago acaben en los servidores de Google y Microsoft sin advertir al usuario.
Como ya hemos dicho, el tema de la contraseña parece tener un requisito adicional, y es emplear la característica que permite mostrarla, que por lo general es empleada para ver si ha sido escrita correctamente en un entorno en el que el usuario está solo. Los investigadores han hecho la prueba con el formulario de acceso de Alibaba.
Entre los sitios web capaces de reproducir el filtrado de datos están los de Office 365, el servicio en la nube de Alibaba, Google Cloud, Amazon Web Services (AWS) y el gestor de contraseñas LastPass. Según informa otto-js mediante actualizaciones de la entrada publicada en su blog oficial, los dos últimos han introducido las mitigaciones necesarias para evitar que el filtrado se vuelva a producir. Para ello han añadido spellcheck=false en todos los campos de introducción de datos de sus formularios para bloquear la corrección ortográfica.
El medio BleepingComputer también ha llevado a cabo otra investigación con la que ha podido sumar a CNN, Facebook, SSA.gov (Seguridad Social de Estados Unidos), Bank of America y Verizon a la lista de otto-js, así que esos sitios web también están contribuyendo, sin querer, a filtrar datos que deberían ser exclusivamente privados del usuario.
En total, otto-js ha investigado más de 50 sitios web y ha dividido 30 de ellos en un grupo de control que abarca seis categorías, las cuales son banca online, herramientas de oficina en la nube, servicios médicos, instituciones gubernamentales, medios sociales y comercio electrónico. De esos 30 sitios web pertenecientes al grupo de control, el 96,7% envía datos personales a los servidores de Google y Microsoft a través del corrector ortográfico mejorado. Por otro lado, al emplear la característica de mostrar la contraseña, el 73% la termina filtrando.
Cómo no tener el corrector ortográfico mejorado en Google Chrome y Microsoft Edge
Por suerte, el fallo está localizado en una característica muy concreta que es posible inhabilitar fácilmente. Recomendamos seguir estos pasos para proteger la privacidad y sobre todo evitar que los datos personales acaben siendo enviados a quien no debe.
En Edge, Microsoft Editor es en realidad una extensión que se instala aparte. Aunque el navegador también cuenta con una implementación presente en “Usar asistencia de escritura”, dentro de la sección Idiomas y que está marcada por defecto, esta no parece reproducir el fallo. Pese a todo, y para más seguridad, sería recomendable usar la revisión básica o inhabilitar totalmente la asistencia de escritura.
En Google Chrome el proceso es similar y además no es algo que esté habilitado por defecto. En la misma sección de Idiomas hay que marcar “Revisión ortográfica básica” si no se opta por la inhabilitación total.
Parece que la inhabilitación de la comprobación ortográfica desde los propios formularios web tendrá que convertirse en un estándar para así proteger de manera más efectiva a los usuarios, aunque eso no quita que estos últimos tengan que tomar las medidas necesarias. Ya se sabe, cuando se trata de privacidad y seguridad, toda precaución que se toma termina siendo poca.
AVISO: El artículo ha sido corregido el 19 de septiembre de 2022 a las 20:20 aproximadamente.
Android 15 hará más segura la carga lateral
Qualcomm presenta Snapdragon X Plus, un salto para Windows con ARM
Apple reduce la producción de Apple Vision Pro
SPC presenta el GRAVITY 5 SE, un tablet ideal para la gama de entrada
GIGABYTE prepara su BIOS para los futuros procesadores Ryzen 9000 de AMD
IA y trazado de rayos en NVIDIA DLSS 3.5, cómo funciona y por qué es importante
10 sitios web para descargar libros electrónicos gratuitos
OMEN Transcend 14, un ultraligero todoterreno con GeForce RTX 4070
Novedades VOD 16/24: ‘Rebel Moon’, la película que deja marcas
Telefónica cumple 100 años, repasamos su historia
Análisis ROCCAT Vulcan II Max: 6 meses al toque con un tope de gama
Cómo instalar el soporte multimedia en Ubuntu, Linux Mint, Fedora y Flatpak
Android 15 hará más segura la carga lateral
Cómo actualizar Windows mediante el Catálogo de Microsoft Update
Sony presenta sus nuevos televisores BRAVIA (2024)
OMEN Transcend 14, un ultraligero todoterreno con GeForce RTX 4070
Requisitos de No Rest for the Wicked para PC
MSI y ASUS actualizan sus placas base para soportar los nuevos Ryzen 9000
-
GuíasHace 3 días10 sitios web para descargar libros electrónicos gratuitos
-
NoticiasHace 7 díasOMEN Transcend 14, un ultraligero todoterreno con GeForce RTX 4070
-
A FondoHace 5 díasNovedades VOD 16/24: ‘Rebel Moon’, la película que deja marcas
-
A FondoHace 6 díasTelefónica cumple 100 años, repasamos su historia