Il controllo ortografico di Edge invia le vostre password a Microsoft

La funzione di controllo ortografico di Edge e Chrome invia le password ai server di Microsoft e Google a insaputa degli utenti.

Edge invia le password

Stando alla segnalazione di un ricercatore di sicurezza, sembrerebbe che l’attivazione della funzione di controllo ortografico avanzato integrata in Edge e Chrome sarebbe responsabile della trasmissione dei dati inseriti nei campi di riempimento delle informazioni personali all’interno dei siti, comprese le credenziali di accesso. La funzione di controllo avanzato base non invia queste informazioni.
Come si può vedere nella dimostrazione pratica (video in alto), quando è attiva la funzione di controllo ortografico avanzato basta utilizzare la funzione Mostra password per inviarle a Microsoft o Google.

Il video utilizza uno scenario comune sul posto di lavoro per illustrare quanto sia facile abilitare le funzionalità di controllo ortografico migliorate dal browser e come un dipendente possa esporre l’azienda senza mai saperlo. La maggior parte dei CISO sarebbe estremamente allarmata nell’apprendere che le credenziali amministrative della propria azienda sono state condivise inconsapevolmente in chiaro con una terza parte, anche una di cui generalmente si fidano.

“Uno degli aspetti più interessanti di questo tipo di esposizione è che è causato dall’interazione non intenzionale tra due funzionalità che, isolatamente, sono entrambe vantaggiose per gli utenti. Le funzionalità avanzate di controllo ortografico in Chrome ed Edge offrono un aggiornamento significativo rispetto al dizionario predefinito. Allo stesso modo, i siti Web che offrono l’opzione di visualizzare le password in chiaro sono più utilizzabili, soprattutto per le persone con disabilità. È quando vengono utilizzati insieme che si verifica l’effettiva esposizione della password”.

Il problema è facilmente risolvibile da parte dei siti interessati, che dovrebbero implementare una voce per bloccare il controllo ortografico in alcuni campi. Gli utenti possono disabilitare il controllo ortografico avanzato o assistenza per la scrittura in Impostazioni > Lingue selezionando quello di base, come nell’immagini sottostante.

Che ne pensate di questo problema di sicurezza di Edge e Chrome? Ditecelo nei commenti.

Articolo di Windows Blog Italia
Fonti | 1, 2