Google Chrome y Microsoft Edge filtran datos de sus usuarios a través sus correctores ortográficos

Los navegadores de Google y Edge están filtrando los datos sensibles de los usuarios a webs y servidores de terceros debido a un problema que afecta al corrector ortográfico mejorado de Chrome y Edge.

El cofundador y director de tecnología de otto-js, Josh Summitt, ha descubierto un problema de seguridad en los navegadores Chrome y Edge mientras comprobaba la detección de comportamientos de secuencias de comandos de la empresa.

LEE TAMBIÉN: ¿Bloqueas los anuncios con extensiones de navegador? Google Chrome ya no te permitirá hacerlo

El error, localizado en la revisión ortográfica mejorada de Chrome y MS Editor de Edge, envía los datos que los usuarios introducen en los formularios a los sitios web donde estuvieran intentando iniciar sesión, como recoge en el blog de la empresa.

Google ya señala en su blog de Soporte que la revisión ortográfica mejorada de Chrome envía el texto que el usuario escribe en el navegador a Google para mejorar las sugerencias ortográficas. Por su parte, MS Editor es una extensión disponible para Chrome y Edge que ofrece sugerencias inteligentes de gramática y ortografía, para lo que necesita conectarse a un servicio en línea de Microsoft.

LEE: Google transfirió por error US$250.000 a un blogger y tardó casi un mes en deshacerlo

Esto se traduce en que si el usuario tiene activada una de estas herramientas, cualquier texto que escriba en el navegador (nombre, usuario, correo electrónico, fecha de nacimiento, entre otra información), también en las ventanas de inicio de sesión online, se envía a los servidores de Google y Microsoft.

Aunque en un inicio puede tratarse de un problema de falta de formación por parte del usuario sobre ambas herramientas, el problema se agrava si el usuario pincha en la opción ‘mostrar contraseña’, que generalmente se usa para comprobar que se ha escrito correctamente, ya que se muestra en texto plano. Si se activa, el corrector ortográfico mejorado de cualquiera de los dos navegadores analiza esa información como cualquier otro texto y la envía a los servidores de terceros.

LEE TAMBIÉN: UE multa a Google con más de 4 mil millones de euros por monopolio de sus servicios en Android

Summitt, que ha denominado este fallo de seguridad como spell-jacking, ha compartido que los cinco principales sitios con exposición para las empresas son Office 365, el servicio en la nube de Alibaba, Secret Manager de Google Cloud, Secret Managerde AWS y LastPass. Estos dos últimos han mitigado el problema.

VIDEO RECOMENDADO