Cuidado con 'Mostrar contraseña': el corrector de texto de Chrome y Edge envía a la nube los datos privados que escribes en la web

Imatge
imagen de dos interficies poniendo los datos de usuarios
Fuente: genbeta
Àmbits Temàtics
Cura de dades

La mayo­ría de las veces que utili­za­mos algún servi­cio de correc­ción o traduc­ción de texto en el nave­ga­dor, el funci­o­na­mi­ento del mismo requi­ere que el texto origi­nal que se nos mues­tra sea remi­tido a servi­do­res en la nube que se encar­garán de anali­zarlo y devol­vér­noslo debi­da­mente corre­gido o tradu­cido. Esto, por supu­esto, cons­ti­tuye un poten­cial problema de priva­ci­dad, pues concede al servi­dor en cues­tión infor­ma­ción sobre las webs que visi­ta­mos y sobre qué clase de textos escri­bi­mos.

Es por eso que Mozi­lla anun­ció el pasado mes de junio el lanza­mi­ento de su exten­sión Fire­fox Trans­la­ti­ons, que ofrece la funci­o­na­li­dad de 'traduc­ción sin nube’ (tanto del conte­nido web como del 'input’ del usua­rio en formu­la­rios y cuadros de texto) a todos los usua­rios de su nave­ga­dor Fire­fox y nave­ga­do­res compa­ti­bles.

Pero… ¿y Google Chrome y Micro­soft Edge? Pues ambos nave­ga­do­res no sólo no ofre­cen dicha funci­o­na­li­dad, sino que sus herra­mi­en­tas de correc­ción de texto pueden termi­nar expo­ni­endo nues­tra priva­ci­dad de manera mucho más directa: remi­ti­endo nues­tras contra­señas a los servi­do­res de Google y Micro­soft.

 

Cuando 'Mostrar contra­seña’ no signi­fica lo que crees

Según han desve­lado los inves­ti­ga­do­res de ciber­se­gu­ri­dad de Otto-JS, el correc­tor ortográ­fico de Chrome y Edge (a gran­des rasgos el mismo, pues el código del segundo se basa en el del primero) está envi­ando a la nube los datos iden­ti­fi­ca­ti­vos que intro­du­ci­mos en los campos de formu­la­rio de las webs: nombre de usua­rio, correo elec­tró­nico, fecha de naci­mi­ento, DNI…

…y, en el caso de que haga­mos clic en 'Mostrar contra­seña’, en el mismo momento en que los aste­ris­cos se convi­er­ten en texto, nues­tras contra­señas también termi­nan subi­das a un servi­dor, lejos de la segu­ri­dad de nues­tro PC.

 Ali

 

El cofun­da­dor y CTO de Otto-JS, Josh Summitt, explica cómo descu­bri­e­ron esta brecha de segu­ri­dad:

«Mien­tras inves­tigá­ba­mos en busca de fugas de datos en dife­ren­tes nave­ga­do­res, nos topa­mos con una combi­na­ción de carac­te­rís­ti­cas que, una vez habi­li­ta­das, expondrán inne­ce­sa­ri­a­mente datos confi­den­ci­a­les a terce­ros como Google y Micro­soft. Lo preo­cu­pante es lo fácil que resulta habi­li­tar estas funci­o­nes y que la mayo­ría de los usua­rios lo harán sin darse cuenta real­mente de lo que está suce­di­endo en segundo plano».

En su web expli­ca­ban que sus prue­bas demos­tra­ron que esto ocur­ría al iniciar sesión en plata­for­mas tan rele­van­tes como Office 365, Alibaba Cloud, Google Cloud, AWS Secrets Mana­ger o Last­Pass, capa­ces de expo­ner la infra­es­truc­tura digi­tal de una empresa; también se hacen eco de que estas dos últi­mas plata­for­mas ya han corre­gido el problema (basta con añadir un atri­buto 'spell­check="false"' al código HTML de la página).

 

🔥 Trucazo #HTML:



👌 El atri­buto «spell­check» (correc­ción ortográ­fica) de HTML espe­ci­fica si se revi­sará la orto­gra­fía y la gramá­tica del elemento o no.



Casos de uso útiles pueden ser los textos con emails o nombres de perso­nas. pic.twit­ter.com/7FDzD­hecsS

— ⚡️ Baumann.js (@bau­mann­zone) Decem­ber 28, 2021

 

Sin embargo, como bien dicen en Mixx.io, «no hay motivo para que se ejecu­ten sobre este tipo de campos, tengan o no el atri­buto HTML spell­check nega­tivo».

Otto-JS recoge también en su web decla­ra­ci­o­nes de Chris­to­fer Hoff, direc­tor de Tecno­lo­gía Segura de Last­Pass:

«Resulta descon­cer­tante que los usua­rios puedan estar expo­ni­endo, sin darse cuenta, datos confi­den­ci­a­les sólo por habi­li­tar funci­o­nes inocuas del nave­ga­dor… sin enten­der que cual­quier cosa que escri­ban, inclui­das las contra­señas, podría resul­tar en que esos datos se envíen a terce­ros».

 

 Corrector

En Edge, el problema desa­pa­rece al susti­tuir 'Editor Micro­soft’ por 'Bási­co’ como herra­mi­enta de correc­ción.

 

Maggie Louie, cofun­da­dora de Otto-JS, deja claro que esta técnica (que ellos cali­fi­can como 'spell-jacking’) cons­ti­tuye un problema mucho mayor de lo que parece:

«Esto puede no resul­tar­nos preo­cu­pante cuando esta­mos hablando de Google y Micro­soft, pero en las manos equi­vo­ca­das, ¿podría usarse un lector de texto o una exten­sión del nave­ga­dor con esas mismas carac­te­rís­ti­cas para la vigi­lan­cia inten­ci­o­nada?».

Vía | Otto-JS

Imagen | Basada en origi­nal de Smas­hi­cons

Darreres entrades

Les dades de l'aplicació de seguiment menstrual és una 'mina d'or' per als anunciants que arrisca la seguretat de les dones - informe
Ja està la web de l'F-Droid taduïda al català i al basc
DonesTech: Jornada de Dinamització de la Internet Social 2025 de la Xarxa Punt TIC
KeePassDX - Gestor de contrasenyes FOSS
El núvol no és un núvol: és una nau! La petjada ambiental de la IA al Canòdrom
Totes les notícies