Se ha descubierto que algunas funciones de revisión ortográfica extendida agregadas a los navegadores web Google Chrome y Microsoft Edge están filtrando información confidencial a sus empresas matrices.
Un análisis de la empresa de seguridad de JavaScript otto-js (se abre en una pestaña nueva) descubrió que la mayoría de los usuarios habilitan funciones que creen que son beneficiosas para su productividad, solo para descubrir que están filtrando su propia información personal, como nombres de usuario, correos electrónicos, contraseñas y más, a las respectivas empresas de los navegadores.
Ambos navegadores tienen funciones de revisión ortográfica básicas e integradas habilitadas de forma predeterminada, que no transmiten datos a Google o Microsoft. El ‘Corrector ortográfico mejorado’ de Chrome y el ‘Editor de Microsoft’ de Edge son complementos opcionales exclusivos que los usuarios deben autorizar explícitamente, y aunque está claro que sus datos se enviarán a ambas empresas para mejorar los productos, no es tan obvio que esto podría incluir su información de identificación personal (PII).
Fugas de contraseña de Chrome y Edge
Trabajando en conjunto con la mayoría de los campos de texto en una página web, ambas herramientas tienen acceso a «básicamente cualquier cosa», dice otto-js. Esto significa que cualquier dato que ingrese en línea, incluida su fecha de nacimiento, detalles de pago, información de contacto y credenciales de inicio de sesión, podría enviarse a Google y Microsoft.
La mayoría de los sitios web que bloquean las contraseñas en línea ocultan esta información altamente confidencial de las herramientas de revisión ortográfica, pero cuando un usuario hace clic para descubrir el texto (tal vez para verificar si lo ha escrito correctamente), la información queda expuesta posteriormente.
computadora pitido (se abre en una pestaña nueva) informó que encontró la transmisión de nombres de usuario a SSA.gov, Bank of America y Verizon, usando Chrome, con contraseñas también expuestas a CNN y Facebook solo cuando se había hecho clic en el botón ‘mostrar contraseña’ o equivalente.
Una forma de minimizar la exposición es que los desarrolladores web incluyan «corrector ortográfico = falso» en cualquier campo de entrada que pueda requerir información confidencial, bloqueando efectivamente esos campos de las herramientas de corrección ortográfica, aunque esto, por supuesto, significará que la corrección ortográfica estará deshabilitada en estas entradas.
Por parte del usuario, deshabilitar temporalmente los correctores ortográficos mejorados o eliminarlos por completo de un navegador parecen ser las únicas formas de proteger sus datos, al menos hasta que cualquiera de las compañías revise su política de privacidad.