Am Puls von Microsoft

Erweiterte Rechtschreibprüfung in Google Chrome und Microsoft Edge kann sensible Daten offenlegen

Erweiterte Rechtschreibprüfung in Google Chrome und Microsoft Edge kann sensible Daten offenlegen

Sowohl Google Chrome als auch Microsoft Edge bieten eine erweiterte Rechtschreibprüfung an. Dies kann allerdings dazu führen, dass sensible Daten bis hin zu Passwörtern an Google und Microsoft übertragen werden.

Herausgefunden hat das die Sicherheitsfirma otto-js.com (via Borncity). Hintergrund ist, dass die erweiterten Rechtschreibprüfungen in Google Chrome und Microsoft Edge cloudbasiert sind und somit alle Eingaben über eine API an die Hersteller senden.

In beiden Fällen handelt es sich nicht um eine Standardfunktion. In Google Chrome muss diese erweiterte Prüfung explizit aktiviert werden, in Microsoft Edge wird sie durch die Erweiterung „Microsoft Editor“ nachgerüstet, die man also erst installieren muss.

Alle Daten, die man in Formulare eingibt, werden im Rahmen jener erweiterten Rechtschreibprüfung an Microsoft bzw. Google gesendet. Das können einfache Daten wie Name und Adresse sein, aber eben auch sensible Informationen wie Versicherungs- oder Steuernummern. Bietet ein Formular bei einem Passwortfeld die Möglichkeit an, es im Klartext anzuzeigen, wird auch dieses übertragen.

Nun könnte man sagen, dass hier alles nur so funktioniert, wie es soll, gleichzeitig ist es äußerst unwahrscheinlich, dass die Daten auf diesem Weg in falsche Hände geraten. Unschön und ein Fall von „sollte man wissen“ ist es allemal. Außerdem lässt sich das „Spelljacking“, wie es die Leute von otto.js süffisant bezeichnen, dadurch vermeiden, dass Formularfeldern die Eigenschaft „spellcheck=false“ mitgegeben wird. Das müssen aber die Webentwickler tun, als Besucher einer Seite kann man das nicht direkt beeinflussen.

Die Spezialisten von otto.js haben diverse Webseiten untersucht, ob sie für Spelljacking anfällig sind, und wurden in vielen Fällen fündig. Microsoft, Google, Amazon, Alibaba und LastPass wurden bereits kontaktiert, Amazon und LastPass haben darauf umgehend reagiert und ihre Webseiten entsprechend angepasst. Andere werden folgen, aber es liegt auf der Hand, dass Microsoft und Google bei ihren Prüfroutinen in irgendeiner Form nachbessern müssen, um ein derartiges Verhalten zu vermeiden.

Wer sich um die Sicherheit seiner Daten sorgt, sollte diese erweiterten Prüfungen also nicht verwenden bzw. darauf achten, auf welchen Webseiten sie verwendet werden. Der Microsoft Editor bietet beispielsweise die Option, nur auf vordefinierten Webseiten aktiv zu werden.

Über den Autor

Martin Geuß

Martin Geuß

Ich bin Martin Geuß, und wie unschwer zu erkennen ist, fühle ich mich in der Windows-Welt zuhause. Seit 15 Jahren lasse ich die Welt an dem teilhaben, was mir zu Windows und anderen Microsoft-Produkten durch den Kopf geht, und manchmal ist das sogar interessant. Das wichtigste Motto meiner Arbeit lautet: Von mir - für Euch!

Anzeige