Os servidores do Google podem obter suas senhas se você usar a verificação ortográfica aprimorada no Chrome

Os servidores do Google podem obter suas senhas se você usar a verificação ortográfica aprimorada no Chrome

Isso só é um problema quando você usa ‘mostrar senha’ em sites que não estão em conformidade com as práticas recomendadas


O Google Chrome é cheio até a borda com recursos úteis, como verificação ortográfica. Além da verificação ortográfica padrão, o Chrome também oferece “verificação ortográfica aprimorada”. Quando você deseja ativá-lo, o Google observa que tudo o que você digitar no navegador será enviado aos servidores da empresa para executá-lo por meio de algoritmos avançados de gramática e estilo. Isso já deixa claro que você provavelmente não deve habilitá-lo quando estiver preocupado com a segurança dos dados, e uma investigação confirmou exatamente isso. Em determinadas circunstâncias, suas senhas e nomes de usuário podem ser enviados para os servidores de verificação ortográfica do Google durante os processos de login.

VÍDEO DA POLÍCIA ANDROID DO DIA

Uma investigação por otto-js (através da Computador sangrando) descobriu que as senhas que você digita nas máscaras de login podem ser enviadas aos servidores do Google quando você usa o recurso “revelar senha”. Esta é uma opção em muitos sites que deve facilitar o preenchimento de senhas, pois permite que você veja o que está digitando em texto simples. No entanto, isso também significa que a proteção de privacidade usual do Chrome não funciona, pois esse texto de senha pode ser tratado como texto normal que deve ser verificado ortografia. Os sites podem impedir que isso aconteça adicionando um atributo HTML “spellcheck=false” ao campo em questão, mas como Bleeping Computer e otto-js mostram, isso é algo que muitos sites negligenciam, incluindo sites de Big Tech como o Facebook.

A LastPass também foi uma das empresas afetadas por essa brecha. Após ser contatada pela otto-js, a empresa de segurança corrigiu o problema introduzindo o atributo “spellcheck=false” em seu campo de entrada.

Quando perguntado pelo Bleeping Computer, o Google explicou que a verificação ortográfica aprimorada só é habilitada em uma base opt-in, e as pessoas são avisadas de que isso significa que todos os seus dados de entrada são enviados para os servidores. Isso já limita quem é afetado pelo problema em primeiro lugar. A empresa então deixou claro que está ciente de que os dados às vezes podem ser confidenciais, portanto, o texto não é anexado a nenhuma identidade do usuário e apenas armazenado e processado nos servidores do Google temporariamente. A empresa também prometeu melhorar seus próprios processos para impedir que as senhas sejam processadas proativamente.

A investigação também apurou Extensão do navegador Microsoft Notepad ser culpado do mesmo problema. Isso é esperado, pois o serviço da Microsoft também conta com processamento baseado em nuvem para oferecer verificações de ortografia, estilo e gramática aprimoradas.

Dado que a Microsoft e o Google são explícitos sobre o envio de texto que você digita para seus servidores, não achamos que alguém deva se surpreender que, nas circunstâncias certas, suas senhas possam ser enviadas junto com outro texto digitado. É claro que ambos os corretores ortográficos não devem ser usados ​​se você lidar rotineiramente com informações confidenciais também, pois você entrega o acesso a tudo o que digita a uma parte que está fora de seu controle, mesmo que ambos ofereçam boas políticas de privacidade. É bom que esta investigação tenha trazido à tona alguns dos problemas com a verificação ortográfica baseada em nuvem, mas realmente deveria ser algo que se poderia antecipar com um verificador ortográfico baseado em nuvem.

Se você já estiver usando um dos muitos grandes gerenciadores de senhas, você também deve estar limpo, mesmo quando usa a verificação ortográfica aprimorada do Chrome ou o Microsoft Editor. Afinal, você só copiará e colará senhas ou usará uma extensão de preenchimento automático. A única coisa que você precisa estar ciente aqui é que também existem ferramentas que sincronizam sua área de transferência em seus dispositivos. Se você usar qualquer um deles, é possível que suas senhas apareçam em lugares que você não espera que apareçam, incluindo o servidor de alguma empresa.