Google и Microsoft поймали на воровстве
Американские корпорации Google и Microsoft, отвернувшиеся от России, уличили в намеренном копировании персональных данных пользователей на свои серверы. Как пишет портал Bleeping Computer, для этого они используют средства проверки правописания в браузерах Chrome и Edge.
Базовая проверка орфографии, по информации обнаруживших проблему исследователей из команды otto-js, в целом безопасна. А вот доверять расширенной проверке, отправляющей введенные пользователем данные, на облачные серверы корпораций, доверять ни в коем случае нельзя.
Обнаруженная уязвимость подвергает риску утечки персональных данных не только обычных пользователей, но также и корпоративных.
Да и в целом организации рискуют без своего ведома предоставить доступ к своей инфраструктуре третьим лицам, если пароль одного или нескольких пользователей утечет в облако.
Принцип работы уязвимости
Утечка пароля может произойти, когда пользователь после его ввода нажмет на кнопку «показать пароль». Сразу после этого браузер Google или Microsoft проверит введенные данные на правописание и отправит их в облако. Кто будет иметь к ним доступ там, неизвестно, но тут важен сам факт отправки персональных данных на сторонние серверы без разрешения на то их владельца.
Аналогичным образом могут утечь ФИО, номера телефонов и документов, адреса проживания и электронной почты. Компании могут потерять корпоративную информацию, не предназначенную для третьих лиц.
Ситуация усугубляется тем, что она распространяется далеко не только на Chrome и Edge, построенный на базе браузера Google. Аналогичная проблема может проявиться и в других обозревателях на основе Chrome, и совершенно точно она есть в облачных офисных сервисах Microsoft и Google.
Как лишить американские корпорации доступа к паролям
Существует единственный гарантированно действенный способ не дать ни Google, ни Microsoft складировать персональные данные пользователей в своих облаках. Для этого необходимо отключить всего одну функцию в Edge и Chrome.
Она носит название «Расширенная проверка правописания». Если она активна, абсолютно весь текст, даже приватное сообщение в чате в любой социальной сети, будет направлено в облако. Исключение не делается даже для банковской информации – исследователи otto-js подчеркнули, что утекает абсолютно вся введенная в браузере информация.
По умолчанию данная функция отключена. Однако редакция CNews рекомендует проверить, действительно ли она деактивирована. Найти ее можно в настройках браузера.
Пока неясно, способны ли браузеры передавать американским корпорациям персональные данные при активированной базовой проверке правописания. По всей видимости, самым надежным способом защиты в данном случае будет отключение этой функции.
Проблему никто не устраняет
И Google, и Microsoft прекрасно осведомлены о том, что разработанные ими браузеры в фоновом режиме направляют им персональные данные пользователей со всего мира, включая Россию. Экспертам портала Bleeping Computer удалось получить комментарии представителей Google.
Международный салон изобретателей: станет ли Новосибирск новым центром притяжения инноваторов?В корпорации заявили, что данные, отправленные на ее серверы средством проверки правописания, действительно могут быть персональными. Однако, по словам представителей Google, они не привязываются к конкретному пользователю, а лишь «временно обрабатываются на сервере» (Google does not attach it to any user identity and only processes it on the server temporarily).
В компании заверили также, что в будущем доработают расширенную проверку орфографии в Chrome, чтобы та не отсылала пароли на ее серверы. Про прочие персональные данные в заявлении Google не было ни единого слова. Более того, в Google не сообщили, в течение какого времени пароли пользователей утекали на ее серверы. Это вполне могло длиться годами, поскольку Chrome появился 14 лет назад. Сроки устранения проблемы разработчики не назвали.