Las funciones de ortografía mejorada de Chrome y Edge están exponiendo su información personal

Se ha descubierto una falla de seguridad grave en Google Chrome y Microsoft Edge que permite compartir información personal, incluidas las contraseñas, en texto no cifrado con terceros.

Como informa TechRadar(Se abre en una nueva ventana)la falla fue descubierta por la firma de seguridad de JavaScript otto-js y se conoce como «Spell-Jacking(Se abre en una nueva ventana).» El problema se deriva del uso del corrector ortográfico mejorado de Chrome y las funciones de Microsoft Editor de Edge, las cuales un usuario puede optar por habilitar, pero están desactivadas de forma predeterminada. En el caso de Microsoft Editor, toma la forma de un complemento -en(Se abre en una nueva ventana) necesitas instalar

Cuando están habilitadas, se informa al usuario que se enviarán datos a Google y Microsoft. Esto es típico, ya que a todas las empresas les gusta recopilar estadísticas de uso y datos para ayudar a mejorar el rendimiento de una función. Sin embargo, en este caso, la información personal que ingresa un usuario en cualquiera de los navegadores también se comparte en texto sin cifrar. Esto puede incluir nombre de usuario, contraseña, dirección de correo electrónico, fecha de nacimiento, número de seguro social, detalles de pago y la lista continúa.

Como explica Josh Summit, cofundador y CTO de otto-js, en el caso del corrector ortográfico mejorado de Chrome, «si ‘mostrar contraseña’ está habilitada, la función incluso envía su contraseña a sus servidores de terceros. Mientras investiga las fugas de datos en diferentes navegadores, encontramos una combinación de funciones que, una vez habilitadas, expondrán datos confidenciales innecesariamente a terceros como Google y Microsoft. Lo preocupante es lo fácil que es habilitar estas funciones y que la mayoría de los usuarios las habilitarán sin darse cuenta está sucediendo en el fondo».

Otto-js enumeró los cinco principales servicios en línea utilizados por empresas empresariales que están en riesgo por esta falla de seguridad. Incluyen Office 365, el servicio en la nube de Alibaba, Google Cloud Secret Manager, AWS Secret Manager y LastPass. Sin embargo, tanto AWS como LastPass ya han mitigado el problema. Google lo ha mitigado para algunos, pero no para todos sus servicios.

(Crédito: otto-js)

Sin embargo, no solo los usuarios empresariales están en riesgo aquí. Otto-js seleccionó más de 50 sitios web y los dividió en seis categorías que cubren banca en línea, atención médica, redes sociales, comercio electrónico, herramientas de oficina en la nube y gobierno. Se descubrió que el 96,7% de ellos envían datos personales a Google y Microsoft cuando las funciones mejoradas están habilitadas. El 73% les envió su contraseña cuando se hizo clic en la opción «mostrar contraseña».

Walter Hoehn, vicepresidente de ingeniería de otto-js, señaló que «una de las cosas más interesantes de este tipo de exposición es que se debe a la interacción no deseada entre dos características que, por sí solas, son beneficiosas para los usuarios. El corrector ortográfico mejorado Las funciones de Chrome y Edge ofrecen una mejora significativa con respecto a los métodos predeterminados basados ​​en diccionarios. Del mismo modo, los sitios web que brindan la opción de mostrar contraseñas en texto claro son más útiles, especialmente para las personas con discapacidades. Es cuando se usan juntos que la exposición real de la contraseña sucede».

Si no ha activado estas funciones mejoradas en Chrome o Edge, sus datos personales no se compartirán. Si es así, deshabilite la función en Chrome(Se abre en una nueva ventana) o desinstalar el complemento en Edge(Se abre en una nueva ventana) se recomienda hasta que se solucione el problema. Tanto Google como Microsoft han sido informados sobre la falla de seguridad inherente a estas funciones mejoradas.

¿Qué es un administrador de contraseñas y por qué necesito uno?