[Atualização: Adicionada declaração da Google sobre esta situação]
Mais do que um simples browser, o Edge e o Chrome são hoje ferramentas essenciais para os utilizadores, muito por aquilo que trazem de extra. A Microsoft e a Google procuram adicionar novas funcionalidades e assim manter os utilizadores nestas ferramentas.
Uma das funcionalidades mais interessantes é mesmo a capacidade da verificação ortográfica, para garantir o melhor texto dos utilizadores. Infelizmente, este auxiliar poderá estar a ter acesso a mais do que o pretendido. Sem que os utilizadores saibam, as suas passwords são enviadas para a Microsoft e pela Google.
Não é anormal que os utilizadores confiem na Google e na Microsoft para armazenar as suas passwords. Estes gestores de dados comunicam e são mantidos de forma segura, não tendo acesso aos dados dos utilizadores de forma clara, tal como seria esperado.
O que agora foi descoberto, vem colocar em causa muita desta segurança no Edge e no Chrome, não pela gestão das passwords, mas sim por estarem a ser enviadas de forma clara para onde não deviam. Ao usarem os serviços de verificação ortográfica da Microsoft e a Google, estas acabam por ser transmitidas.
O que a equipa de investigação da otto-js descobriu mostra que ao pedir para ver a password preenchida ou escrita, esta acaba por ser enviada. Isto acontece a quem tem a verificação ortográfica ativa, sem que o utilizador saiba ou sequer que seja comunicada essa possibilidade.
Para além de revelar este cenário, válido em muitos dos principais sites, esta equipa apresentou também duas possíveis soluções para este problema. O primeiro passa por desativar a verificação ortográfica tanto no Chrome como no Edge.
A segunda, mais complicada de aplicar, e não dependente dos utilizadores, obriga a uma alteração do html das páginas. Ao adicionar o código “spellcheck=false” nos campos dos formulários, estes dados não são enviados. Apesar de ser conhecido, a maioria dos sites não implementa esta simples alteração.
O ideal, para a maioria dos utilizadores, é mesmo desabilitar a verificação ortográfica no Chrome e no Edge, evitando assim o envio destes dados. Não há qualquer informação sobre o que a Google ou a Microsoft fazem com essa informação, mas o ideal é impedir que estes dados saiam do controlo dos utilizadores.
Declaração da Google sobre esta situação – 20/09/2022
A Verificação ortográfica melhorada requer consentimento do utilizador de maneira pró-ativa. A descrição da configuração afirma:
‘A verificação ortográfica melhorada utiliza o mesmo corretor ortográfico usado na pesquisa Google. O texto que o utilizador digita no browser é enviado para a Google.’
O texto digitado pelo utilizador pode ter informações pessoais confidenciais e a Google não o associa a nenhuma identidade do utilizador. Além disso, apenas o processa no servidor de forma temporária. Para garantir ainda mais a privacidade do utilizador, vamos trabalhar para excluir as palavras-passe proactivamente da verificação ortográfica.
Agradecemos a colaboração da comunidade de segurança e estamos sempre a procurar formas de proteger melhor a privacidade do utilizador e as informações confidenciais.