В браузере Chrome выявлена проблема с отправкой конфиденциальных данных на серверы Google при включении расширенного режима проверки правописания, подразумевающего выполнение проверки с использованием внешнего сервиса. Проблема также проявляется в браузере Edge при использовании дополнения Microsoft Editor.

Оказалось, что текст для проверки передаётся в том числе из форм ввода, содержащих конфиденциальные данные, в том числе из полей содержащих имена пользователей, адреса, email и даже пароли, в случае если поля ввода паролей не ограничены штатным тегом «‹input type=password›». Например, проблема приводит к отправке на сервер www.googleapis.com паролей в случае включение опции для показа введённого пароля, реализованной в сервисах Google Cloud (Secret Manager), AWS (Secrets Manager), Office 365, Alibaba Cloud и LastPass. Из 30 протестированных известных сайтов, включая социальные сети, банки, облачные платформы и интернет-магазины, 29 оказались подвержены утечке.

В AWS и LastPass проблема уже оперативно решена через добавление параметра «spellcheck=false» в тег «input». Для блокирования отправки данных на стороне пользователя следует отключить в настройках расширенную проверку (секция «Languages/Spell check/Enhanced spell check» или «Языки/Проверка правописания/Расширенная проверка», по умолчанию не включена).

1

Источник: http://www.opennet.ru/opennews/art.shtml?num=57798