Chrome：改进的拼写检查器将您的密码发送给 Google

分别来自谷歌和微软的浏览器Chrome和Edge中改进的拼写检查器存在安全漏洞。事实上，后者将您的个人数据发送到硅谷巨头的服务器。

我们怀疑，为了提供像拼写检查器一样有用的功能，微软和谷歌有义务收集统计数据。只要它们是匿名的，就不会有任何问题。但根据计算机安全公司 Otto-js（改进的拼写检查器）的说法，用户必须自愿激活，并将在线表格中输入的信息发送到谷歌和微软服务器，使互联网用户的个人数据面临被盗的风险。

支付方式、地址、姓名、出生日期、社会保障或护照号码：每天，数百万用户将他们最个人的数据发送到硅谷巨头的服务器。我们可以想象，如果改进的拼写检查器暴露的安全缺陷被滥用，那么所有这些数据被盗可能会产生什么样的后果。即使是神圣不可侵犯的密码被暴露。 Otto-js 首席技术官 Josh Summit 表示，如果启用“显示密码”，您的密码将发送到他们的第三方服务器。 “令人担忧的是轻松激活这些功能。用户会在没有意识到发生了什么的情况下激活它们”。

微软和谷歌改进的拼写检查器与非法行为调情

知道如何利用这些缺陷的黑客可以拦截用户与谷歌或微软服务器之间的通信。据 Otto-js 称，这两家公司通过存储我们调查问卷中的密码，犯下了“拼写劫持”（密码盗用）罪，并且违反了 IT 安全的一项名为“需要知道”的基本原则，从而犯下了非法行为。如果所有网站都受到此缺陷的影响，阿里云服务、Office 365 和谷歌云尤其容易受到攻击。从逻辑上讲，公共组织和公司，例如微软是这些攻击的首选目标。

研究人员通过登录他们的阿里云帐户并随后证明他们的密码确实已发送到谷歌的服务器来证明增强型拼写检查器的危险。在用于支持他们的结论的视频中，他们解释了公司如何通过这种看似无害的功能公开其基础设施（服务器、数据库、密码等）。如果纠正这一违规行为的责任因此落在谷歌和微软身上，我们不要忘记用户是其个人数据安全的主要保证者。因此强烈建议不启用增强拼写检查并始终安装最新的 Chrome 更新。

关于同一主题：Microsoft Defender 的可靠性首次低于其他免费防病毒软件

来源：电脑发出蜂鸣声