Los navegadores de Google y Microsoft están filtrando los datos sensibles de los usuarios a webs y servidores de terceros debido a un problema que afecta al corrector ortográfico de dichos buscadores.
El problema de seguridad se descubrió mientras el equipo de investigación de otto-js comprobaba la detección de comportamientos de secuencias de comandos. El error, localizado en la revisión ortográfica, envía los datos que los usuarios introducen en los formularios a los sitios web donde intentan iniciar sesión, como señala el blog de la empresa.
Google indica en su blog de soporte que la revisión ortográfica de Chrome envía el texto que el usuario escribe en el navegador para mejorar las sugerencias ortográficas. Mientras tanto, MS Editor es una extensión disponible para Chrome y Edge que ofrece sugerencias inteligentes de gramática y ortografía, requiriendo la conexión a un servicio en línea de Microsoft.
Es importante mencionar que la revisión ortográfica en Chrome requiere que el usuario la acepte de manera proactiva, es decir, si el usuario nunca hizo la solicitud, ninguna información es enviada a Google, teniendo en cuenta que se indica en la descripción de la configuración.
La configuración señala que "la revisión ortográfica mejorada utiliza el mismo corrector ortográfico que se utiliza en la búsqueda de Google. El texto que escribe en el navegador se envía a Google".
Un portavoz de Google afirma para 20Bits que "el texto escrito por el usuario puede tener información personal sensible y Google no lo asocia a ninguna información de identificación del usuario. Además, solo lo procesa en el servidor de manera temporal. Para garantizar aún más la privacidad del usuario, vamos a trabajar para excluir las contraseñas de forma proactiva del corrector ortográfico".
Aunque en un principio puede tratarse de un problema de falta de formación por parte del usuario sobre ambas herramientas, el problema se agrava si el usuario pincha en la opción 'mostrar contraseña'. Si se activa, el corrector ortográfico de los navegadores analiza esa información como cualquier otro texto y la envía a los servidores de terceros.
Google y Microsoft han sido notificadas para que sean conscientes de lo que está ocurriendo, además, este fallo de seguridad ha sido denominado como 'spell-jacking' y también ha compartido que los cinco sitios con exposición para las empresas son el servicio en la nube de Alibaba, Google Cloud, Office 365, Secret Manager de Amazon Web Services (AWS) y el gestor de contraseñas LastPass.
Según informa otto-js en su blog, los dos últimos mencionados han introducido las mitigaciones necesarias para evitar que el filtrado se vuelva a producir.
Evita el fallo de seguridad gracias a estos consejos
En Edge, Microsoft Editor es una extensión que se instala aparte. El navegador cuenta con una implementación presente en 'Usar asistencia de escritura' que está marcada por defecto, sin embargo, no reproduce el fallo. Para garantizar más seguridad, los usuarios tienen que emplear la revisión básica o inhabilitar la asistencia de escritura.
Dentro de Google Chrome y en la sección de idiomas, la víctima tiene que marcar 'Revisión ortográfica básica' con el fin de proteger su seguridad informática.
Apúntate a nuestra newsletter y recibe en tu correo las últimas noticias sobre tecnología.
Comentarios
Hemos bloqueado los comentarios de este contenido. Sólo se mostrarán los mensajes moderados hasta ahora, pero no se podrán redactar nuevos comentarios.
Consulta los casos en los que 20minutos.es restringirá la posibilidad de dejar comentarios