Spell-Jacking
21.09.2022, 08:51 Uhr
Microsoft Edge und Chrome geben Benutzernamen, Passwörter und mehr weiter
Wenn Sie in Edge den Microsoft Editor oder in Chrome die erweiterte Rechtschreibung nutzen: Daten, die Sie in Formularfelder eintippen, werden direkt an Microsoft oder Google gesendet. Das gilt sogar für Passwörter, wie die Webseite otto-js.com herausgefunden hat.
Die erweiterte Rechtschreibung von Chrome und der Microsoft Editor (Add-on) von Edge senden Daten, die Sie in Formularfelder eintippen, direkt an Google und Microsoft, berichtet «Neowin» (engl.) unter Berufung auf die Webseite otto-js.com. Darunter sind Benutzernamen, E-Mail-Adressen, Geburtsdatum oder Sozialversicherungsnummer. Im Grunde wird alles, was in den Feldern steht, an Webseiten, bei denen Sie sich mit einem dieser Browser anmelden, verschickt, wenn diese Funktionen aktiviert sind. Dieser Vorgang wird auch «Spell-Jacking» genannt.
Auch Passwörter werden übermittelt
Zudem werden sogar Passwörter verschickt, wenn die Schaltfläche Kennwort anzeigen (Augen-Symbol) angeklickt wird. Denn dabei wird das Kennwort in sichtbaren Text umgewandelt, der dann von der Rechtschreibung überprüft wird.
Das Team von otto-js hat 30 Webseiten aus den Bereichen Onlinebanking, Cloud-Office-Tools, Gesundheitswesen, Regierung, Soziale Medien und E-Commerce getestet. Dem Bericht zufolge schickten von den 30 getesteten Webseiten der Kontrollgruppe 96,7 % davon Daten mit personenbezogenen Daten an Google und Microsoft zurück.
Die Top 5 der betroffenen Webseiten
Am stärksten betroffen sind, bzw. waren, nach Angaben von otto-js.com folgende fünf Webseiten:
- Office 365
- Alibaba - Cloud Service
- Google Cloud - Secret Manager*
- AWS - Secrets Manager Das Problem wurde bereits vollständig behoben
- LastPass: Das Problem wurde bereits vollständig behoben
*Der Single-Sign-On-Dienst Auth0 gehörte nach Angaben des Otto-Teams nicht zur Kontrollgruppe, sei aber neben Google die einzige Website gewesen, die das Problem korrekt entschärft habe.
Lesen Sie auf der nächsten Seite, welche Unternehmen Massnahmen getroffen haben und was PCtipp rät.