Функция верификации орфографии в Chrome может раскрывать пароли

Компания otto-js занимается обеспечением безопасности JavaScript. Ее сотрудники установили, что функция проверки орфографии, которая присутствует в веб-обозревателях Edge и Chrome, может передавать Microsoft и Google пользовательские данные, в том числе пароли.

Стоит отметить, что по умолчанию в указанных выше браузерах активирована обычная функция верификации орфографии. Она работает штатно. Лишиться паролей при ее использовании нельзя. Баг был обнаружен специалистами otto-js в функции расширенной проверки правописания, которая активируется пользователями вручную. По словам экспертов, данный факт создает угрозу для конфиденциальности пользователей.

Проведенный авторами исследования эксперимент показал, что при активированной функции расширенной верификации орфографии данные из заполняемых пользователями форм отправляются на принадлежащие Microsoft и Google серверы. Речь может идти о передаче таких данных, как email, контактная информация, домашний адрес, номер страхового полиса, банковские реквизиты, дата рождения и пр. Если во время входа в аккаунт нажать на кнопку «Показать пароль», то браузер тут же передаст его на сервер. В случае с Google Chrome пароль будет отправлен на адрес googleapis.com.