image

Spellingcheck Chrome en Edge kan wachtwoorden naar Google en Microsoft sturen

maandag 19 september 2022, 10:49 door Redactie, 16 reacties

De uitgebreide spellingcheckers van Google Chrome en Microsoft Edge kunnen informatie die gebruikers op websites invoeren, waaronder hun wachtwoorden, naar de techbedrijven sturen. Dat stelt securitybedrijf otto-js. Chrome en Edge worden met een standaard spellingchecker geleverd. Gebruikers kunnen echter een uitgebreidere spellingchecker inschakelen.

Deze uitgebreidere spellingcheckers kunnen informatie die gebruikers op websites invoeren, waaronder ook persoonlijke informatie, naar Google en Microsoft terugsturen. Het gaat in principe om alles, zoals gebruikersnamen, e-mailadressen en geboortedata, aldus het securitybedrijf. Wanneer de optie "show password" door de gebruiker wordt aangeklikt, om zo het ingevoerde wachtwoord te bekijken, gaat ook het wachtwoord richting de techbedrijven.

"Het is verontrustend dat klanten onbedoeld vertrouwelijke gegevens kunnen prijsgeven door het inschakelen van onschuldige browserfuncties en niet begrijpen dat alles wat ze typen - inclusief wachtwoorden - naar derden kunnen worden verzonden", zegt Christofer Hoff Chief Secure Technology Officer van wachtwoordmanager LastPass. Otto-js deed onderzoek en stelde het probleem vast bij Office 365, Alibaba Cloud, Google Cloud, Amazon Web Services en LastPass. Na te zijn ingelicht besloten Amazon en LastPass maatregelen door te voeren.

Er zijn verschillende maatregelen om het lekken van gevoelige data tegen te gaan. Websites kunnen de optie "spellcheck=false" voor alle invoervelden gebruiken. Ook de optie om het ingevoerde wachtwoord weer te geven kan worden uitgeschakeld. Daarnaast kunnen eindgebruikers ervoor kiezen om de uitgebreidere spellingchecker niet in te schakelen.

Image

Reacties (16)
19-09-2022, 10:52 door Anoniem
Als je wat om privacy geeft, dan gebruik je hoe dan ook geen google of microsoft. Dus wat dat betreft... het beeld is consistent.
19-09-2022, 10:53 door majortom
Niet alleen de spellingcheckers kunnen dat, maar de browser zelf ook. Dus als Google, Microsoft die info willen hebben dan hebben ze daar ook zonder de spellingcheckers al gelegenheid toe. Vertrouw je de leverancier niet, gebruik dan zijn browser niet.
19-09-2022, 11:37 door Anoniem
Neen ff is lekker met zijn beveiliging op een gegeven moment werkt het niet meer om dat met het blokkeren geen goede verbindingen krijg....
19-09-2022, 12:15 door _R0N_
Dit is meer een probleem van Chrome als framework dus. Je moet er vanuit gaan dat alle browsers gebaseerd op Chrome het op dezelfde manier lekken, het is alleen afhankelijk van waar de spellingcheck uitgevoerd wordt.
19-09-2022, 12:27 door Anoniem
Leuk dat de spellingscontrole op het wachtwoord veld ingesteld staat. Is hetn ou Welkom123 of Welcome ;d
19-09-2022, 13:40 door Anoniem
Het toetsenbord in Android al onderzocht? Staat de hele dag data te delen met de servers van Google. Onnodig zonder deze verbinding werkt het ook.
19-09-2022, 13:54 door Anoniem
Door Anoniem: Leuk dat de spellingscontrole op het wachtwoord veld ingesteld staat. Is hetn ou Welkom123 of Welcome ;d
Fout antwoord: het ww moet zijn: Hup-Holland-Hup.
19-09-2022, 14:08 door Anoniem
Er zijn verschillende maatregelen om het lekken van gevoelige data tegen te gaan. Websites kunnen de optie "spellcheck=false" voor alle invoervelden gebruiken.
Waarom is dat niet standaard op wachtwoord velden?

Maar goed, wat verwacht men anders van Chromium. Het blijft van Google.
19-09-2022, 14:12 door Anoniem
Dat geldt ook voor vertaaldiensten. Tegenwoordig worden veel websites automatisch vertaald naar de taal die uit je ip / locatiegegevens kan worden afgeleid. Dat betekent dat de inhoud van elke bezochte pagina naar de server van de vertaaldienst wordt gestuurd Dus ook hetgeen je in je winkelmandje hebt, je accountgegevens enzovoort. Ik weet niet in hoeverre dat gebeurt met wachtwoorden (formdata), maar door alleen al dergelijke websites te bezoeken, wordt er heel wat aan gegevens weggelekt.
Soms wordt het niet eens aangegeven dat automatische vertaling wordt gebruikt. Dan wordt het hooguit verraden door de vreemde, niet-gangbare Nederlandse/Engelse vertalingen.
19-09-2022, 14:54 door Anoniem
Die handige vertaal-optie zit reeds in zowat alle op chromium gebaseerde browsers, bijvoorbeeld ook in Brave.
Privacy Wall op Android heeft het niet, maar daar ben je dan weer via het toetsenbordje de pisang.

Dus hoe ontkom je aan het eeuwige gespionneer voor total control en total surveillance ten behoeve van ......?

Wie het weet mag het zeggen of zijn we al lang aan de g*den overgeleverd?
Kijk maar eens even naar al je permissies die je Big Tech geeft via je instellingen.

luntrus
19-09-2022, 16:14 door Anoniem
Achtergrond. Strekking is en wanneer de overheid mag afluisteren. Die normaalgesproken soms wat meer mag dan een burger of een bedrijf.

De Microsofts en Googles verschuilen zich dan er achter dat je accoord bent gegaan met hun voorwaarden om veel verder te gaan in alles af te luisteren waar ze maar bij kunnen. Helaas betreft het hier strafrecht. Je kunt per overeenkomst niet toestaan dat iemand een misdaad tegen jou pleegt. Dus volgens mij spreken we hierboven over elk afgeluisterd wachtwoord of elke meegelezen toetsaanslag op een android keyboard over strafbaar afluisteren. OK klikken om op je neus geslagen te worden blijft ook gewoon strafbaar voor de dader. Al legt een notaris de overeenkomst vast, dan nòg. Strafrecht is niet tussen dader en slachtoffer, het is tussen de wet en de dader.

https://www.burojansen.nl/afluisteren/wetten-en-regels-over-afluisteren/
19-09-2022, 18:37 door Anoniem
Maar Alphabet en Meta worden bij wet uitgesloten van vervolging, vanwege afspraken met het Imperium over de Atlantische Oceaan gelegen, die deze Big Tech bedrijven zelf mede met financiele ondersteuning hebben mogelijk gemaakt.

NSA luistert als ze dat willen iedereen af, daar was Snowden duidelijk genoeg over en wat wil de EU daaraan doen?
20-09-2022, 08:41 door Anoniem
Volgens mij stonden deze G en MS spyware constructies een paar jaar terug ook al in de Data Protection Impact Assessment (DPIA) van onze overheid omschreven.
20-09-2022, 14:30 door Anoniem
Otto-js website krijgt nu een alert voor een XSS-aanval.
Is dit aanvallen van de 'boodschapper' in dit geval?

luntrus
20-09-2022, 16:31 door Anoniem
Buiten dit is otto.js een extensie als aanvulling op de gelijkaardige retire.js extensie van Erlend Oftedal.

Voor het algemene plaatje geeft het aan dat er Tracking Scripts zijn, Data Stealing, Malware en/of Weak Site Security.

Daarnaast ook afvoerbare bibliotheken net als retire.js extensie dat doet.

Voor algemene alerts als Hidden iFrames (redirections), UnAuthorized Redirections, Encoded Javascript, External Domain Requests en Trackers is er Browser Js Guard gesponsord door de regering van India.

Dan is er nog de online scanner zoals bijv.: https://isithacked.com/check/, checkt op cloaking, gelijke status code voor GoogleBot en GoogleChrome, spammy looking links, iframes en blacklist checks.

Let op Otto.js waarchuwt op de isithacked dot com site voor Google Analytics User Tracking Detected - User tracking information sent to google-analytics.com

Wenu dat verwachten we al bijna overal en op elke website te zien. Deze eindgebruikers tracking informatie voor Google Analytics. Niets ongewoons aan.

Codeer veilig en rustig, beste vrienden hier. Start het drievingerig saluutje, Ctrl+Shift+I ,en analysren maar.

Ontvang groetjes van,

luntrus
20-09-2022, 17:22 door Anoniem
dit probleem werd al op deze site subtiel aangebracht by anoniem
https://www.security.nl/posting/767887/Ddos+aanvallen+en+wachtwoorden
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.