Google Chrome und Microsoft Edge bieten beide eine verbesserte Rechtschreibprüfung, die falsch geschriebene Wörter automatisch erkennt und korrigiert. Während die Funktion nützlich und bequem erscheinen mag, zeigen neuere Untersuchungen, dass sie ernsthafte Datenschutzrisiken darstellen kann.
Bei manueller Aktivierung senden sowohl die erweiterte Rechtschreibprüfung von Chrome als auch der Microsoft Editor Ihre Formulardaten an ihre Mutterunternehmen zurück, wodurch die Daten im Wesentlichen buchstabiert werden.
Was ist Spelljacking?
Spelljacking bezieht sich auf die Offenlegung von personenbezogenen Daten (PII) durch Verbesserte Rechtschreibprüfung in Chrome Und Microsoft-Editor.
Recherche der JavaScript-Sicherheitsfirma otto-js festgestellt, dass alle in ein beliebiges Formularfeld eingegebenen Daten an Server von Google und Microsoft-Drittanbietern übertragen wurden, wenn die erweiterte Rechtschreibprüfung aktiviert war.
Abhängig von den von Ihnen besuchten Websites können die durchgesickerten Informationen Benutzername, Passwort, Adresse, Geburtsdatum, Sozialversicherungsnummer (SSN), Bank- und Zahlungsinformationen und mehr umfassen.
Obwohl beide Funktionen standardmäßig deaktiviert sind, geht es darum, wie einfach diese zu aktivieren sind, und die meisten Benutzer aktivieren sie, ohne zu wissen, was im Hintergrund passiert.
Wer ist gefährdet?
otto-js identifizierte die fünf größten Online-Dienste, die durch diese Sicherheitslücke gefährdet sind. Dazu gehören Alibabas Cloud Service, Office 365, AWS Secret Manager, Google Cloud Secret Manager und LastPass. Sowohl AWS als auch LastPass haben Berichten zufolge das Problem entschärft, während Google es für einige seiner Dienste angegangen ist.
Allerdings sind nicht nur Unternehmensanwender gefährdet. otto-js hat mehr als 50 Websites getestet, die häufig genutzt werden und Zugang zu sensiblen Informationen haben. Es teilte 30 dieser Websites in sechs Kategorien ein und wählte die fünf besten Websites pro Kategorie aus, um einen Maßstab für die Häufigkeit und Intensität der Exposition zu erstellen. Die sechs Kategorien umfassen:
- Online-Banking
- Gesundheitspflege
- Cloud-Office-Tools
- Regierung
- Sozialen Medien
- E-Commerce
In der Kontrollgruppe von 30 getesteten Websites stellte otto-js fest, dass rund 97 Prozent sensible Benutzerdaten an Google und Microsoft zurücksendeten, wenn die Rechtschreibprüfung aktiviert war.
Darüber hinaus sendeten über 73 Prozent der Websites Passwörter an die Unternehmen, wenn Benutzer auf „Passwort anzeigen“ klickten.
Dies stellt ein erhebliches Sicherheitsproblem für Unternehmensanmeldeinformationen und clientseitige Sicherheit dar.
So mildern Sie Spell-Jacking
Der beste Weg, Ihre Anmeldeinformationen zu schützen, ist die Verwendung von a sicherer Passwort-Manager, ein gutes Antivirenprogramm, und verschlüsseln Sie Ihren Datenverkehr mit a VPN. Normale Cybersicherheitspraktiken reichen in diesem Fall jedoch nicht aus.
Eine Möglichkeit, das Risiko für Unternehmen zu minimieren, besteht darin, „spellcheck=false“ in Eingabefelder einzufügen, die personenbezogene Daten erfordern. Dadurch werden diese Felder effektiv von Rechtschreibprüfungswerkzeugen blockiert, was bedeutet, dass die Rechtschreibprüfung für diese Einträge deaktiviert wird.
Eine andere Möglichkeit, wie Unternehmen die Auswirkungen von Spelljacking abmildern können, besteht darin, die Funktion „Passwort anzeigen“ für Benutzer zu deaktivieren. Dies wird das Spelljacking nicht stoppen, aber es wird verhindern, dass die Passwörter der Benutzer gesendet werden.
Unternehmen können auch Endpoint-Sicherheitslösungen implementieren, die Rechtschreibprüfungsfunktionen deaktivieren und verhindern, dass ihre Mitarbeiter kompromittierte Browsererweiterungen installieren.
Für einzelne Benutzer können Sie die erweiterte Rechtschreibprüfung in den Browsern Chrome und Edge wie folgt deaktivieren:
Google Chrome
Am einfachsten schützen Sie Ihre personenbezogenen Daten vor dem Versand an Google, indem Sie die erweiterte Rechtschreibprüfung vorerst entfernen. Sie können die Funktion in Ihren Chrome-Einstellungen deaktivieren, indem Sie die folgenden Schritte ausführen:
- Drücke den drei Punkte in der oberen rechten Ecke Ihres Browsers und wählen Sie aus Einstellungen.
- Scrollen Sie nach unten und klicken Sie Fortschrittlich um zusätzliche Einstellungen anzuzeigen.
- Wählen Sprachen aus den Optionen, die auf der linken Seite des Bildschirms erscheinen.
- Unter dem Rechtschreibprüfung Abschnitt, deaktivieren Sie die Verbesserte Rechtschreibprüfung Möglichkeit.
Sie können die Seite auch aufrufen, indem Sie einfach den folgenden Link in die Adressleiste Ihres Browsers einfügen und die Eingabetaste drücken:
Chrom://settings/?search=Enhanced+Spell+Check
Microsoft Edge
Für Microsoft Edge-Benutzer gibt es die Rechtschreibprüfung als Browser-Add-on. Zu Entfernen Sie die Erweiterung aus Ihrem Browser, klicken Sie mit der rechten Maustaste auf das Symbol der Erweiterung und wählen Sie „Von Microsoft Edge entfernen“.
Wenn Sie das Symbol auf der Startseite Ihres Browsers nicht finden können, können Sie zur Erweiterungsbibliothek gehen und es von dort entfernen. Klicken Sie einfach rechts neben der Adressleiste des Browsers auf „Erweiterungen“, um Erweiterungen zu finden. Wählen Sie „Weitere Aktionen“ neben der Erweiterung, die Sie entfernen möchten, und klicken Sie auf „Von Microsoft Edge entfernen“.
Und so bewahren Sie Ihre persönlichen Daten vorerst sicher auf.