گوگل کروم را میتوانیم یکی از پرامکاناتترین مرورگرهای دنیا بهحساب آوریم که ویژگیهای مفیدی مانند بررسی املا چیزهایی که نوشتهاید را به شما ارائه میدهد.
این ویژگی در دو حالت استاندارد و پیشرفته در دسترس قرار دارد که در صورت فعال کردن بررسی املای پیشرفته، گوگل خاطرنشان میکند که هر آنچه که در مرورگر تایپ میکنید، به سرورهای این شرکت ارسال میشود تا از طریق گرامر و الگوریتمهای پیشرفته مورد بررسی قرار گیرد.
اگر شما از آن دست کاربرانی هستید که به امنیت دادههای خود در فضای اینترنت بسیار اهمیت میدهید، به شما پیشنهاد میکنیم که هیچگاه بررسی املای پیشرفته را فعال نکنید. تا چند روز پیش، تصور بر این بود که تنها اطلاعات چیزهایی که تایپ کردهاید به سرورهای گوگل ارسال خواهند شد، اما امروز مشخص شد که تحت شرایطی خاص، رمزها و نامهای کاربری شما هم میتوانند در طول فرایند ورود به سرورهای تصحیح املای گوگل، ارسال شوند.
گزارش مربوط به این موضوع برای اولینبار توسط رسانه Bleeping Computer منتشر شد که در آن تحقیقات انجام شده توسط otto-js وجود داشت. او گفت که رمزهای عبوری که در زمان ورود به وبسایتها و پلتفرمهای دیگر تایپ میکنید، میتواند در زمان استفاده از ویژگی reveal password، به سرورهای گوگل فرستاده شود. این گزینه در بسیاری از وبسایتها وجود دارد و قرار است که پرکردن رمزهای عبور را آسانتر کند، چرا که به شما این امکان را میدهد تا آنچه را که بهعنوان متنی ساده تایپ میکنید را ببینید.
در کنار تمام موارد گفته شده، این موضوع به معنای آن است که حفاظت از حریم خصوصی در مرورگر کروم بهخوبی کار نمیکند. در واقع، این متن رمز عبور میتواند بهعنوان متن معمولی درنظر گرفته شود که باید املای آن مورد بررسی قرار گیرد. وبسایتهای میتوانند با اضافه کردن spellcheck=false به فیلد مورد نظر، از این اتفاق جلوگیری کنند، اما همانطور که Bleeping Computer و otto-js نشان دادند، بسیاری از وبسایتهای بزرگ دنیا، از جمله سایتهای مربوطبه فناوری بزرگی مثل فیسبوک، از آن غفلت میکنند.
LastPass هم یکی دیگر از شرکتهایی بوحد که تحت تاثیر این آسیبپذیری قرار گرفت. این شرکت امنیتی پس از تماسی که با otto-js داشت، توانست که مشکل گفته شده را با اضافه کردن ویژگی spellcheck=false در فیلد ورودی خود برطرف کند. در زمانی که Bleeping Computer از شرکت گوگل در مورد آسیبپذیری موردنظر سوال کرد، گوگل توضیح داد که بررسی املای پیشرفته فقط براساس انتخاب فعال است و به کاربران هشدار داده میشود که این مورد به آن معنا است که تمام دادههای ورودی آنها به سرورها ارسال میشود.
این هشدار نشان داده شده توانسته تا افرادی که تحت تاثیر چنین آسیبپذیری قرار گرفتهاند را کاهش دهد؛ بنابراین، متن به هویت کاربری متصل نمیشود و فقط بهصورتی موقت در سرورهای شرکت گوگل ذخیره و پردازش خواهند شد. آنها همچنین متعهد شدهاند که فرایندهای خود را بهبود ببخشند تا رمزهای عبور را از روند پردازش حذف کنند.
در ادامه این تحقیقات مورد نظر، مشخص شد که افزونه مرورگر Microsoft Editor هم در همین موضوع مقصر است. البته، این موضوع چیزی نبود که انتظارش را نداشته باشیم، چرا که سرویس مایکروسافت هم برای ارائه بررسیهای املا، سبک و دستور زبان به پردازش مبتنیبر ابر متکی است. باتوجهبه این موضوع که هم مایکروسافت و هم گوگل در مورد ارسال متنی که تایپ کردهاید به سرورهایشان بهصورتی صریح صحبت کردهاند، احتمالا کسی را پیدا نخواهید کرد که از ارسال شدن رمزهای عبور همراهبا آن تعجب کند.
بسیار واضح است که اگر بهصورت معمول و روزانه به اطلاعات محرمانه دسترسی دارید، بههیچ عنوان نباید از هیچکدام از این سرویسهای تصحیح املا استفاده کنید، چرا که دسترسی به هر چیزی را که تایپ میکنید را به طرفی که خارج از کنترل شماست، واگذار میکنید. حتی اگر هر دو شرکت گوگل و مایکروسافت هم سیاستهای بسیار خوبی را در زمینه حفظ حریمخصوصی شما ارائه دهند، به هیچ عنوان نباید در این شرایط از سرویسهای تصحیح املا آنها استفاده کنید.
با انجام این تحقیقات، ما متوجه شدیم که سرویسهای تصحیح املا مبتنیبر وب تا چه اندازه میتوانند خطرناک باشند. اگر شما اکنون یکی از آن افرادی هستید که مدیریت یک سیستم در دستان شماست یا اینکه دسترسی نسبتا زیادی را به سیستمهای مربوط به مدیریت یک پلتفرم دارید، در زمان استفاده از سرویسهای تصحیح املای شرکتهای مایکروسافت و گوگل باید حواس خود را جمع کنید.
برای آنکه اطلاعات حیاتی خود را با این سرویسها بهاشتراک نگذارید، تنها کافیست که رمزهای عبور خود را کپی و جایگذاری کنید یا اینکه از اکستنشنهای مربوط به تکمیل خودکار استفاده نمایید. تنها چیزی که در اینجا باید از آن آگاه باشید، این است که ابزارهایی هم وجود دارند که کلیپبورد شما را رصد یا با دستگاههای دیگرتان همگام میکنند. اگر از هر یک از این موارد استفاده مینمایید، این امکان وجود دارد تا رمزهای عبور شما در مکانهایی، مانند سرور برخی از شرکتها، نمایش داده شود که اصلا انتظار آن را ندارید.