En un ámbito de riesgo
de similar calado a algo visto no hace demasiado tiempo, afectando en esta ocasión a los campos de usuario y contraseña, se ha reportado que las opciones avanzadas de ciertos navegadores para realizar la corrección ortográfica son un peligro, y pueden transmitir los datos a servidores encargados de la citada tarea de corrección.
Así, si en Chrome activamos la opción de corrector ortográfico mejorado (opt-in), o en Edge instalamos el
add-on de corrección ortográfica y gramatical, parece quedar patente que, en ambos casos, se transmiten los campos de usuario y contraseña a los servidores de verificación. En el caso de la contraseña, parece que tenemos que darle a "visualizar contraseña" para que suceda.
El autor del estudio expresó además su inquietud sobre que esto podría estar sucediendo en aplicativos tales como:
Office 365, Alibaba Cloud, Google Cloud - Secret Manager, Amazon AWS - Secrets Manager, and LastPass.
AWS y Lastpass ya ha modificado su código para erradicar este efecto.
Otro elemento más de "avance", que no mide bien el alcance potencial de los riesgos asociados. Aunque no se conoce por ahora explotación alguna de este tipo de situaciones, y cabría un contexto de dónde aplican, nadie quiere ver sus credenciales de acceso a aspectos relativos a las criptomonedas (ni de ningún otro ámbito) yendo a parar a servidores por estos mundos …
Ver:
https://www.bleepingcomputer.com/news/security/google-microsoft-can-get-your-passwords-via-web-browsers-spellcheck/
