Webbrowsers Chrome en Edge sturen persoonlijke gegevens door naar de servers van Google en Microsoft. Zelfs je wachtwoord wordt niet gespaard. De verbeterde spellingscontrole van de technologiebedrijven ligt hier aan ten grondslag.
Tot die conclusie komen onderzoekers van beveiligingsbedrijf otto-js (1).
Wie Google Chrome of Microsoft Edge gebruikt om te surfen op internet, kan kiezen uit twee soorten spellingscontrole: de standaardfunctie of de geavanceerde functie. Google noemt de geavanceerde spellingscontrole Uitgebreide Spellingscontrole. Bij Microsoft staat deze functie bekend onder de noemer Microsoft Editor.
Slimme algoritmes bestuderen en controleren teksten op taal- en spelfouten. Om ervoor te zorgen dat de algoritmes hun werk kunnen doen, wordt alle zichtbare tekst op het scherm naar de servers van Google en Microsoft gestuurd. Zodoende komt er veel privacygevoelige informatie in de handen van de techbedrijven.
Online formulieren vormen hierdoor een groot privacygevaar voor bezoekers. Als je bijvoorbeeld een account aanmaakt of een bestelling plaatst bij een webshop (2), moet je vaak veel privé-informatie prijsgeven. Denk aan je naam, geboortedatum, telefoonnummer, e-mailadres en BSN-nummer.
Josh Summitt, Chief Technology Officer (CTO) bij otto-js, stelt dat zelfs wachtwoorden terecht komen bij Google en Microsoft. “Als ‘toon wachtwoord’ is ingeschakeld, stuurt de geavanceerde spellingscontrole zelfs uw wachtwoord naar servers van derden.”
Tijdens het onderzoek naar datalekken in verschillende browsers, vonden beveiligingsonderzoekers van otto-js een combinatie van functies die, als deze zijn ingeschakeld, gevoelige gegevens onnodig blootstellen aan partijen als Google en Microsoft. “Verontrustend is hoe gemakkelijk deze functies zijn in te schakelen en dat de meeste gebruikers deze functies zullen activeren zonder echt te beseffen wat er op de achtergrond gebeurt”, zo waarschuwt Summitt.
Deze methode van gegevensverzameling wordt ook wel spell-jacking genoemd. Volgens het cybersecuritybedrijf kan spell-jacking grote problemen opleveren, zowel voor mensen die online surfen als grote technologiebedrijven. In beginsel wordt hierdoor onze privacy (3) geschonden. Daarnaast is het zeer moeilijk, zo niet onmogelijk, om te garanderen dat persoonsgegevens worden beschermd. Client-side security staat hierdoor eveneens op losse schroeven.
“Het is verontrustend dat klanten onbedoeld vertrouwelijke gegevens kunnen vrijgeven door onschuldige browserfuncties in te schakelen en niet begrijpen dat alles wat ze intikken, inclusief wachtwoorden, ertoe kan leiden dat die gegevens naar derden worden verzonden”, reageert Christofer Hoff, CTO bij LastPass, op de berichtgeving. LastPass heeft het probleem van de geavanceerde spellingscontrole inmiddels opgelost. Dat geldt nog niet voor andere wachtwoordmanagers (4).
Walter Hoehn, vicepresident Engineering bij otto-js, zegt het interessant te vinden dat de interactie van twee onschuldige functies grote consequenties kunnen hebben. “De verbeterde spellingscontrole in Chrome en Edge biedt een aanzienlijke verbetering ten opzichte van de standaard op woordenboeken gebaseerde methoden. Ook websites die de mogelijkheid bieden om wachtwoorden in duidelijke tekst weer te geven, zijn beter bruikbaar, vooral voor mensen met een handicap. Het is wanneer ze samen worden gebruikt dat de eigenlijke blootstelling aan wachtwoorden plaatsvindt.”
Otto-js benadrukt dat het onduidelijk is of de gegevens die de geavanceerde spellingscontrole verzamelt daadwerkelijk worden opgeslagen, en hoe de beveiliging van de data plaatsvindt. “Het is ook onduidelijk of de gegevens worden beheerd met hetzelfde beveiligingsniveau als bekende gevoelige gegevens zoals wachtwoorden, of misschien door een productteam, als metadata voor het verfijnen van modellen”, aldus het cybersecuritybedrijf.
De onderstaande video laat zien hoe de geavanceerde spellingscontrole data verzamelt. De tweede video laat zien hoe je deze functionaliteit uitschakelt in Chrome. Let wel: geavanceerde spellingscontrole is standaard niet ingeschakeld. Als je deze nooit geactiveerd hebt, hoef je niets te doen.
https://www.otto-js.com/news/article/chrome-and-edge-enhanced-spellcheck-features-expose-pii-even-your-passwords
https://www.vpngids.nl/veilig-internet/cybercrime/nep-webshops-herkennen/
https://www.vpngids.nl/privacy/
https://www.vpngids.nl/wachtwoordmanagers/
