Spell-Jacking
21.09.2022, 08:51 Uhr
Microsoft Edge und Chrome geben Benutzernamen, Passwörter und mehr weiter
Wenn Sie in Edge den Microsoft Editor oder in Chrome die erweiterte Rechtschreibung nutzen: Daten, die Sie in Formularfelder eintippen, werden direkt an Microsoft oder Google gesendet. Das gilt sogar für Passwörter, wie die Webseite otto-js.com herausgefunden hat.
Die erweiterte Rechtschreibung von Chrome und der Microsoft Editor (Add-on) von Edge senden Daten, die Sie in Formularfelder eintippen, direkt an Google und Microsoft, berichtet «Neowin» (engl.) unter Berufung auf die Webseite otto-js.com. Darunter sind Benutzernamen, E-Mail-Adressen, Geburtsdatum oder Sozialversicherungsnummer. Im Grunde wird alles, was in den Feldern steht, an Webseiten, bei denen Sie sich mit einem dieser Browser anmelden, verschickt, wenn diese Funktionen aktiviert sind. Dieser Vorgang wird auch «Spell-Jacking» genannt.
Auch Passwörter werden übermittelt
Zudem werden sogar Passwörter verschickt, wenn die Schaltfläche Kennwort anzeigen (Augen-Symbol) angeklickt wird. Denn dabei wird das Kennwort in sichtbaren Text umgewandelt, der dann von der Rechtschreibung überprüft wird.
Das Team von otto-js hat 30 Webseiten aus den Bereichen Onlinebanking, Cloud-Office-Tools, Gesundheitswesen, Regierung, Soziale Medien und E-Commerce getestet. Dem Bericht zufolge schickten von den 30 getesteten Webseiten der Kontrollgruppe 96,7 % davon Daten mit personenbezogenen Daten an Google und Microsoft zurück.
Die Top 5 der betroffenen Webseiten
Am stärksten betroffen sind, bzw. waren, nach Angaben von otto-js.com folgende fünf Webseiten:
- Office 365
- Alibaba - Cloud Service
- Google Cloud - Secret Manager*
- AWS - Secrets Manager Das Problem wurde bereits vollständig behoben
- LastPass: Das Problem wurde bereits vollständig behoben
*Der Single-Sign-On-Dienst Auth0 gehörte nach Angaben des Otto-Teams nicht zur Kontrollgruppe, sei aber neben Google die einzige Website gewesen, die das Problem korrekt entschärft habe.
Lesen Sie auf der nächsten Seite, welche Unternehmen Massnahmen getroffen haben und was PCtipp rät.
Massnahmen der Unternehmen • PCtipp meint
Wurden Massnahmen getroffen?
Die einzige Webseite, die das Problem entschärft habe, sei Google, allerdings nur für einige Dienste und nicht für alle von otto-js getesteten Produkte des Unternehmens. Aber auch andere Unternehmen haben bereits Massnahmen getroffen, darunter AWS (Amazon Web Services) und der Passwortmanager LastPass, welche gegenüber otto-js.com bestätigt haben, dass ein Update das Problem entschärft habe.
PCtipp meint
Bis das Problem behoben ist, sollten Sie die Edge-Erweiterung Microsoft-Editor: Rechtschreibung- und Grammatikprüfung und die erweiterte Rechtschreibung in Chrome nicht verwenden. Die Rechtschreibprüfung in Chrome deaktivieren Sie via Einstellungen/Sprachen (s. Screenshot).
Alternativ können Sie das Online-Wörterbuch von Duden bzw. die Online-Textprüfung Duden-Mentor, welche 7 Tage gratis getestet werden kann. Lesen Sie auch unseren Artikel Die besten Online-Rechtschreibprüfungs-Tools. Für Übersetzungshilfe können Sie auf Webtools wie DeepL zurückgreifen, von dem auch eine PC-Version verfügbar ist.