Die erweiterte Rechtschreibprüfung im Chrome-Browser sendet unter anderem Passwörter an Google. Auch Microsofts Edge macht es nicht besser.
Durch die erweiterte Rechtschreibprüfung in Googles Chrome-Browser überträgt dieser Formulardaten und in einigen Fällen sogar Passwörter seiner Benutzer an Google. Gleiches trifft auch auf Microsofts Edge zu, der in seiner aktuellen Version ja ebenfalls auf Chrome basiert. Und obwohl der Anwender diese Funktion zuerst manuell aktivieren muss, birgt sie ein hohes potenzielles Datenschutzrisiko, über das sich die wenigsten Benutzer im Klaren sein dürften.
Option „Passwort anzeigen“ macht das Passwort auch für Google und Microsoft sichtbar
Wer einen der weitverbreiteten Webbrowser Chrome oder Edge einsetzt, muss bei aktiver erweiterter Rechtschreibprüfung damit rechnen, dass dieser Formulardaten an Google oder Microsoft übermittelt. Diese können mitunter zahlreiche personenbezogene Daten enthalten. Sozialversicherungsnummern, Namen, Adressen, Kontaktinformationen und Bankverbindungen sind nur einige der brisanten Informationen, die je nach Webseite und Eingabehistorie betroffen sein können.
Der Mitbegründer und CTO der JavaScript-Sicherheitsfirma otto-js, Josh Summitt, entdeckte das Problem beim Testen der Skriptverhaltenserkennung seines Unternehmens. Wie die Firma berichtet, sind einige der größten Webseiten der Welt „dem Risiko ausgesetzt, dass Google und Microsoft sensible personenbezogene Daten von Nutzern einschließlich Benutzernamen, E-Mail und Kennwörtern senden, wenn sich Nutzer anmelden oder Formulare ausfüllen.„
„Wenn ‚Passwort anzeigen‘ aktiviert ist, sendet die Funktion Ihr Passwort sogar an die Server von Drittanbietern. Bei der Suche nach Datenlecks in verschiedenen Browsern haben wir eine Kombination von Funktionen gefunden, die, sobald sie aktiviert sind, unnötigerweise sensible Daten an Drittanbieter wie Google und Microsoft weitergeben. Besorgniserregend ist, wie einfach diese Funktionen zu aktivieren sind und dass die meisten Nutzer diese Funktionen aktivieren, ohne wirklich zu wissen, was im Hintergrund passiert.“
Josh Summitt, CTO von otto-js
Dabei ist der Einsatz der Option „Passwort anzeigen“ keine Seltenheit. Anwender greifen häufig darauf zurück, wenn sie vermuten, sich vertippt zu haben, statt das Passwort noch mal komplett neu einzugeben. Das Unternehmen otto-js demonstriert in seinem Bericht am Beispiel von Alibaba, wie der Chrome-Browser mit aktiver erweiterter Rechtschreibprüfung die Inhalte der Formularfelder einschließlich Benutzername und Kennwort an „googleapis.com“ übermittelt. Außerdem belegen sie ihre Erkenntnisse anhand eines Videos:
Manuelle Aktivierung der erweiterten Rechtschreibprüfung in Chrome und Edge erforderlich
Im Gegensatz zur einfachen Rechtschreibprüfung, die im Chrome-Browser standardmäßig aktiviert ist, muss der Benutzer die erweiterte Rechtschreibprüfung manuell aktivieren. Zwar weist Chrome bei Aktivierung der Funktion darauf hin, dass der eingegebene Text an Google gesendet wird. Doch dürfte den wenigsten Benutzern klar sein, dass davon auch Passwörter betroffen sind.
Microsoft setzt seine Rechtschreib- und Grammatikprüfung hingegen etwas anders um. Beim Edge handelt es sich um ein separates Addon, das der Anwender explizit installieren muss. Doch was mit den Formulardaten passiert, wenn sie schließlich bei Google oder Microsoft angekommen sind, bleibt für den Benutzer unklar.
Deaktivierung der Prüfung sowie ein HTML-Attribut können Abhilfe schaffen
Wie BleepingComputer berichtet, hat LastPass, das erst kürzlich durch einen Sicherheitsvorfall Aufsehen erregte, bereits eine Lösung für seine Anwender geschaffen, indem es das HTML-Attribut „spellcheck“ des Passwort-Feldes auf den Wert „false“ setzte. Dies sorgt dafür, dass die Rechtschreibprüfung des Chrome- oder Edge-Browsers das entsprechende Feld nicht verarbeitet. Dennoch erfordert dies einen aktiven Eingriff von sämtlichen Online-Diensten, die mit Web-Formularen arbeiten.
„Unternehmen können das Risiko der Weitergabe personenbezogener Daten ihrer Kunden mindern, indem sie allen Eingabefeldern die Option ’spellcheck=false‘ hinzufügen, was allerdings zu Problemen für die Nutzer führen kann. Alternativ können Sie diese Option auch nur für die Formularfelder mit sensiblen Daten einrichten. Unternehmen können außerdem die Funktion ‚Passwort anzeigen‘ entfernen.“
otto-js
Sicherheitsbewusste Anwender können die erweiterte Rechtschreibprüfung in Chrome natürlich auch vollständig deaktivieren oder unter Edge das entsprechende Addon entfernen.