使用谷歌和微软增强的拼写检查功能时,个人数据受到的威胁更大
雅加达 - 额外的拼写检查功能或增强的拼写检查对于确保没有拼写错误可能非常有用,但实际上此功能可能会危及用户的个人数据。
众所周知,谷歌浏览器和微软边缘浏览器具有增强的拼写检查功能,但是在使用它们时的便利性中,用户的个人数据也可能被广泛传播。
来自JavaScript安全公司otto-js的研究人员发现了一个发现,这可能会让我们在两种浏览器中使用增强型拼写检查工具时三思而后行。
通过启用该工具,在任何网站上键入的所有内容都将发送到Google进行拼写检查。
作为otto-js的联合创始人兼首席技术官,Josh Summitt解释了用户在表单上输入的几乎所有内容,并且启用了增强的拼写检查功能,信息将传输到谷歌和微软。
“在研究不同浏览器中的数据泄漏时,我们发现一些功能的组合,一旦启用,就没有必要向谷歌和微软等第三方公开敏感数据,”Summit在9月20日星期二援引Beta News的话说。
“如果启用了'显示密码',该功能甚至可以将您的密码发送到他们的第三方服务器。如果你点击'显示密码',增强的拼写检查器甚至会发送你的密码,基本上他们会劫持你的拼写数据,“他补充说。
这意味着您在线输入的任何数据(包括您的出生日期、付款详细信息、联系信息和登录凭据)都可以发送回 Google 和 Microsoft。
根据Summit的说法,令人担忧的是激活起来有多容易,大多数用户都会激活此功能,而实际上并没有意识到后台发生了什么。
Summit还解释说,一些世界上最大的网站可以在用户登录或填写表格时向谷歌和微软敏感用户发送PII(个人身份信息),包括用户名、电子邮件和密码。
此问题会影响许多主要网站和服务,包括 Office 365、阿里云服务和 Google 云密钥管理器。LastPass和AWS秘密管理器也被发现受到影响,但这些公司现在已经实施了缓解措施。
与此同时,一份哔哔哔声计算机报告还发现,用户名也使用Chrome向 SSA.gov,美国银行和Verizon传输,密码也仅在启用显示密码时才会暴露给CNN和Facebook。
为防止出现这种情况,用户可以暂时禁用增强型拼写检查功能或将其从浏览器中完全删除。这是保护用户个人数据的唯一方法,至少在其中一家公司修改其隐私政策之前是这样。