Chrome, las funciones de ortografía mejoradas de Edge exponen su información personal

Se ha descubierto una falla de seguridad grave en Google Chrome y Microsoft Edge que permite que la información personal, incluida contraseñapara compartir en texto claro con terceros.

Como Informes de TechRadar(Se abre en una nueva ventana)la falla fue descubierta por la firma de seguridad de JavaScript otto-js y se llama “Hechizos(Se abre en una nueva ventana).” El problema se deriva del uso de la revisión ortográfica mejorada de Chrome y las funciones del editor Microsoft Edge, que un usuario puede optar por habilitar, pero que están deshabilitadas de forma predeterminada. En el caso del editor de Microsoft, toma la forma de un Para agregar(Se abre en una nueva ventana) necesitas instalar

Cuando se activa, se informa al usuario que los datos se transmitirán a Google y Microsoft. Esto es típico, ya que a todas las empresas les gusta recopilar estadísticas de uso y datos para ayudar a mejorar el rendimiento de una función. Sin embargo, en este caso, la información personal ingresada por un usuario en cualquiera de los navegadores también se comparte en texto sin cifrar. Esto puede incluir nombre de usuario, contraseña, dirección de correo electrónico, fecha de nacimiento, número de seguro social, detalles de pago y la lista continúa.

Como explica Josh Summit, cofundador y CTO de otto-js, en el caso del corrector ortográfico mejorado de Chrome, “si ‘mostrar contraseña’ está habilitada, la función incluso envía su contraseña a sus servidores de terceros. Mientras investiga datos fugas en diferentes navegadores, encontramos una combinación de funciones que, cuando están habilitadas, expondrán datos confidenciales innecesariamente a terceros como Google y Microsoft. Lo que preocupa es la facilidad para activar estas funciones y el hecho de que la mayoría de los usuarios las activarán sin realmente darse cuenta de lo que está sucediendo en el fondo”.

Otto-js ha enumerado los cinco principales servicios en línea utilizados por empresas corporativas que se ven amenazados por esta brecha de seguridad. Ellos entienden Oficina 365El servicio en la nube de Alibaba, Google Cloud Secret Manager, AWS Secret Manager y Ultimo pase. Sin embargo, AWS y LastPass ya han mitigado el problema. Google lo ha atenuado para algunos de sus servicios, pero no para todos.

(Crédito: otto-js)

Sin embargo, no son solo los usuarios empresariales los que están en riesgo aquí. Otto-js seleccionó más de 50 sitios web y los dividió en seis categorías que cubren banca en línea, atención médica, redes sociales, comercio electrónico, herramientas de oficina en la nube y gobierno. Se descubrió que el 96,7 % de ellos enviaba datos personales a Google y Microsoft cuando las funciones avanzadas estaban habilitadas. El 73% les envió su contraseña cuando se hizo clic en la opción “Mostrar contraseña”.

Walter Hoehn, vicepresidente de ingeniería de otto-js, señaló que “una de las cosas más interesantes de este tipo de exposición es que se debe a la interacción no deseada entre dos características que, tomadas de forma aislada, son beneficiosas para los usuarios”. Las funciones mejoradas de revisión ortográfica de Chrome y Edge ofrecen una mejora significativa con respecto a los métodos basados ​​en diccionarios predeterminados. que ocurre la verdadera exposición de la contraseña”.

Si no ha habilitado estas funciones avanzadas en Chrome o Edge, sus datos personales no se compartirán. Si tienes, entonces deshabilitar función en Chrome(Se abre en una nueva ventana) Dónde desinstalar complemento en Edge(Se abre en una nueva ventana) se recomienda hasta que se resuelva el problema. Google y Microsoft han sido informados de la falla de seguridad inherente a estas funciones mejoradas.

¿Qué es un administrador de contraseñas y por qué necesito uno?