يقدم كل من Google Chrome و Microsoft Edge ميزة التدقيق الإملائي المحسّنة التي تكتشف وتصحح الكلمات التي بها أخطاء إملائية تلقائيًا. على الرغم من أن الميزة قد تبدو مفيدة ومريحة ، إلا أن الأبحاث الحديثة توضح أنها قد تشكل مخاطر خطيرة على الخصوصية.
عند التمكين يدويًا ، يرسل كل من Chrome's Enhanced Spellcheck و Microsoft Editor بيانات النموذج الخاصة بك مرة أخرى إلى شركاتهم الأم ، بشكل أساسي تهجئة البيانات.
ما هو الاصطياد الإملائي؟
يشير مصطلح Spell-jacking إلى الكشف عن معلومات التعريف الشخصية (PII) من خلال ميزة التدقيق الإملائي المحسنة في Chrome و محرر مايكروسوفت.
البحث عن طريق شركة أمان JavaScript أوتو شبيبة وجدت أن جميع البيانات التي تم إدخالها في أي حقل نموذج تم إرسالها إلى خوادم الجهات الخارجية لـ Google و Microsoft عند تمكين ميزة التدقيق الإملائي المحسّنة.
اعتمادًا على مواقع الويب التي تزورها ، يمكن أن تتضمن المعلومات المسربة اسم المستخدم وكلمة المرور والعنوان وتاريخ الميلاد ورقم الضمان الاجتماعي (SSN) ومعلومات البنك والدفع والمزيد.
بينما يتم إيقاف تشغيل كلتا الميزتين افتراضيًا ، فإن الأمر يتعلق بمدى سهولة تمكينهما وتمكين معظم المستخدمين لهما دون إدراك ما يحدث في الخلفية.
من في عرضة للخطر؟
حددت otto-js أفضل خمس خدمات عبر الإنترنت معرضة للخطر من هذا الخلل الأمني. وهي تشمل Alibaba's Cloud Service و Office 365 و AWS Secret Manager و Google Cloud Secret Manager و LastPass. يقال إن كل من AWS و LastPass قد خففتا من المشكلة ، بينما عالجتها Google لبعض خدماتها.
ومع ذلك ، ليس مستخدمو المؤسسة وحدهم هم المعرضون للخطر. اختبرت otto-js أكثر من 50 موقعًا يستخدمها الأشخاص بشكل متكرر ولديهم إمكانية الوصول إلى معلومات حساسة. لقد قسم 30 من تلك المواقع إلى ست فئات وحدد أفضل خمسة مواقع لكل فئة لإنشاء معيار لتكرار وشدة التعرض. تشمل الفئات الست ما يلي:
- الخدمات المصرفية عبر الإنترنت
- الرعاىة الصحية
- أدوات المكتب السحابية
- حكومة
- وسائل التواصل الاجتماعي
- التجارة الإلكترونية
في مجموعة التحكم المكونة من 30 موقعًا تم اختبارها ، وجدت otto-js أن حوالي 97 بالمائة أرسلوا بيانات المستخدم الحساسة إلى Google و Microsoft عندما تم تمكين ميزات التدقيق الإملائي.
علاوة على ذلك ، أرسل أكثر من 73 بالمائة من مواقع الويب كلمات مرور إلى الشركات عندما نقر المستخدمون على "إظهار كلمة المرور".
يمثل هذا مصدر قلق أمان كبير لبيانات اعتماد المؤسسة والأمان من جانب العميل.
كيفية التخفيف من الاصطياد الإملائي
أفضل طريقة لحماية بيانات اعتماد تسجيل الدخول الخاصة بك هي استخدام ملف مدير كلمات مرور آمن, برنامج جيد لمكافحة الفيروسات، وتشفير حركة المرور الخاصة بك بامتداد VPN. ومع ذلك ، فإن ممارسات الأمن السيبراني العادية ليست كافية في هذه الحالة.
تتمثل إحدى طرق تقليل التعرض للشركات في تضمين "التدقيق الإملائي = خطأ" في حقول الإدخال التي تتطلب معلومات شخصية. سيؤدي هذا إلى حظر هذه الحقول بشكل فعال من أدوات التدقيق الإملائي ، مما يعني أنه سيتم تعطيل التدقيق الإملائي لهذه الإدخالات.
هناك طريقة أخرى يمكن للشركات من خلالها التخفيف من تأثير الاختراق الإملائي وهي تعطيل ميزة "إظهار كلمة المرور" للمستخدمين. لن يوقف هذا السرقة الإملائية ، لكنه سيمنع إرسال كلمات مرور المستخدمين.
يمكن للشركات أيضًا تنفيذ حلول أمان نقطة النهاية التي يمكنها تعطيل ميزات التدقيق الإملائي ومنع موظفيها من تثبيت ملحقات المستعرض المخترقة.
بالنسبة للمستخدمين الفرديين ، إليك كيفية تعطيل ميزة التدقيق الإملائي المحسّنة في متصفحات Chrome و Edge:
جوجل كروم
أسهل طريقة لحماية بياناتك الشخصية من إرسالها إلى Google هي إزالة ميزة التدقيق الإملائي المحسّنة في الوقت الحالي. يمكنك تعطيل الميزة في إعدادات Chrome عن طريق تنفيذ الخطوات التالية:
- انقر على ثلاث نقاط في الزاوية العلوية اليمنى من المتصفح وحدد إعدادات.
- قم بالتمرير لأسفل وانقر فوق متقدم لعرض إعدادات إضافية.
- يختار اللغات من الخيارات التي تظهر على يسار الشاشة.
- تحت التدقيق الإملائي القسم ، قم بإلغاء تحديد التدقيق الإملائي المحسن خيار.
يمكنك أيضًا الوصول إلى الصفحة ببساطة عن طريق لصق الرابط التالي في شريط عنوان المتصفح والضغط على Enter:
كروم://settings/?search=Enhanced+Spell+Checkمايكروسوفت إيدج
بالنسبة لمستخدمي Microsoft Edge ، يأتي المدقق الإملائي كوظيفة إضافية للمستعرض. ل قم بإزالة الامتداد من متصفحك، انقر بزر الماوس الأيمن فوق رمز الامتداد واختر "إزالة من Microsoft Edge".
إذا لم تتمكن من العثور على الرمز في الصفحة الرئيسية لمتصفحك ، فيمكنك الانتقال إلى مكتبة الملحقات وإزالتها من هناك. ما عليك سوى النقر فوق "الامتدادات" على يمين شريط عنوان المتصفح للعثور على الامتدادات. حدد "إجراءات أخرى" بجوار الامتداد الذي تريد إزالته وانقر فوق "إزالة من Microsoft Edge".
وهذه هي الطريقة التي تحافظ بها على أمان بياناتك الشخصية في الوقت الحالي.