网络安全研究人员发现,Edge 中的 Microsoft Editor 和 Google Chrome 中的 Enhanced Spellchecker 等编辑套件/拼写检查器会将有关用户的潜在个人身份信息 (PII) 发送到 Microsoft 和 Google 服务器。
JavaScript 安全公司otto-js的一个团队在发现异常活动时正在测试脚本检测。此外,如果用户在输入密码时访问“显示密码”选项,此信息也会发送给公司。
当拼写检查器处于活动状态时,似乎将发送任何放入表单的内容。然而,研究人员表示,谷歌只是暂时收到信息:
“用户输入的文本可能是敏感的个人信息,谷歌不会将其附加到任何用户身份上,只是暂时在服务器上处理。为了进一步确保用户隐私,我们将努力从拼写检查中主动排除密码。”
值得注意的是,Chrome 中的增强拼写检查默认是关闭的。如果用户想使用它,必须启用它。在 Microsoft Edge 中,Microsoft 编辑器套件默认不可用。相反,用户必须将其安装到浏览器中。
在 Chrome 中,Google 告诉用户“您在浏览器中键入的 (t)ext 将发送给 Google。” 微软很可能在编辑器周围有类似的语言。然而,安全研究人员警告说,这种做法可能会为威胁行为者打开攻击途径。
有必要查看 otto-js 博客上的完整研究。
微软编辑器
如果您不熟悉编辑器,它在 2020 年初推出 Microsoft 365 个人版和家庭版时首次亮相。该功能在 Microsoft Word 上推出,后来在其他 Microsoft Office 应用程序和 Web 浏览器上可用。
编辑器功能是免费提供的。但是,高级语法建议、写作优化提示和拼写检查仅限于 Microsoft 365 订阅者。
正文完