Die Rechtschreibprüfung in Google Chrome könnte Ihre Passwörter preisgeben

Wenn Sie gerne gründlich sind und eine erweiterte Rechtschreibprüfung verwenden, haben wir einige schlechte Nachrichten – Ihre persönlichen Daten könnten in Gefahr sein.

Mit der erweiterten Rechtschreibprüfung in Google Chrome und Microsoft Edge werden alle Ihre Eingaben zur Überprüfung übermittelt. Leider gehören dazu Informationen, die streng verschlüsselt werden sollten, wie z. B. Passwörter.

Dieses Problem, das erstmals von der JavaScript-Sicherheitsfirma otto-js gemeldet wurde, wurde versehentlich entdeckt, als das Unternehmen seine Erkennung von Skriptverhalten testete. Josh Summitt, Mitbegründer und CTO von otto-js, erklärt, dass so ziemlich alles, was Sie in Formularfelder mit aktivierter erweiterter Rechtschreibprüfung eingeben, später an Google und Microsoft übertragen wird.

„Wenn Sie auf ‚Passwort anzeigen‘ klicken, sendet die erweiterte Rechtschreibprüfung sogar Ihr Passwort, wodurch Ihre Daten im Wesentlichen ausgehebelt werden“, so otto-js in seinem Bericht . „Einige der größten Websites der Welt sind damit konfrontiert, Google und Microsoft vertrauliche personenbezogene Daten [persönlich identifizierbare Informationen] von Benutzern zu senden, einschließlich Benutzername, E-Mail und Passwörtern, wenn Benutzer sich anmelden oder Formulare ausfüllen. Eine noch größere Sorge für Unternehmen ist die Gefährdung der Enterprise-Anmeldeinformationen des Unternehmens durch interne Assets wie Datenbanken und Cloud-Infrastruktur.“

Viele Leute verwenden „Passwort anzeigen“, um sicherzustellen, dass sie keinen Tippfehler gemacht haben, also könnten hier möglicherweise viele Passwörter gefährdet sein. Bleeping Computer hat dies weiter getestet und festgestellt, dass die Eingabe Ihres Benutzernamens und Passworts auf CNN und Facebook die Daten an Google sendete, während SSA.gov, Bank of America und Verizon nur die Benutzernamen sendeten.

Sowohl Microsoft Edge als auch Google Chrome verfügen über integrierte Rechtschreibprüfungen, die ziemlich einfach sind. Diese Tools erfordern keine weitere Überprüfung – was Sie eingeben, bleibt in Ihrem Browser. Wenn Sie jedoch die erweiterte Rechtschreibprüfung von Chrome oder die Rechtschreib- und Grammatikprüfung des Editors von Microsoft verwenden, wird alles, was Sie in den Browser eingeben, an Google bzw. Microsoft gesendet.

Das ist an sich nicht unerwartet. Wenn Sie die erweiterte Rechtschreibprüfung in Chrome aktivieren, teilt Ihnen der Browser mit, dass der „Text, den Sie in den Browser eingeben, an Google gesendet wird“. Viele Menschen würden jedoch erwarten, dass dies PII ausschließt, die häufig in Formularen übermittelt werden.

Der Schweregrad hängt von den Websites ab, die Sie besuchen. Einige Formulardaten können Sozialversicherungsnummern und Sozialversicherungsnummern, Ihren vollständigen Namen, Ihre Adresse und Zahlungsinformationen enthalten. Auch Anmeldedaten fallen in diese Kategorie.

Es ist verständlich, dass Ihre Eingaben außerhalb des Browsers gesendet werden, um die verbesserte Rechtschreibprüfung zu nutzen, aber es ist schwer zu hinterfragen, wie sicher dies ist, wenn auch personenbezogene Daten die gleiche Behandlung erfahren.

So bleiben Sie sicher

Wenn Sie Ihre personenbezogenen Daten nicht an Microsoft und Google übermitteln möchten, sollten Sie die erweiterte Rechtschreibprüfung vorerst einstellen. Dies bedeutet, dass Sie die Funktion in Ihren Chrome-Einstellungen deaktivieren. Kopieren Sie dies einfach und fügen Sie es in die Adressleiste Ihres Browsers ein: chrome://settings/?search=Enhanced+Spell+Check.

Für Microsoft Edge gibt es die erweiterte Rechtschreibprüfung in Form eines Browser-Add-Ons, also klicken Sie einfach mit der rechten Maustaste auf das Symbol dieser Erweiterung in Ihrem Browser und tippen Sie dann auf Von Microsoft Edge entfernen .

Google hat sichergestellt, dass es keine Benutzeridentität mit den Daten verbindet, die es für die Rechtschreibprüfung verarbeitet. Es wird jedoch daran arbeiten, Passwörter vollständig davon auszuschließen. Microsoft sagte, es werde das Problem untersuchen, hat Bleeping Computer aber noch nicht weiter verfolgt. Microsoft hat derzeit ein weiteres Problem mit Edge: Hacker nutzen es, um eine Malvertising-Kampagne durchzuführen .