Tiện ích kiểm tra lỗi chính tả chính thức của Google Chrome và Microsoft rất tiện lợi, là công cụ hỗ trợ đắc lực cho người dùng khi tra cứu và nhắn tin trên trình duyệt máy tính. Mặc dù hữu ích, chúng bao gồm khả năng gửi lại tất cả mật khẩu trình duyệt của bạn cho Google và Microsoft.
Ngoài tính năng kiểm tra lỗi chính tả mặc định trên Google Chrome và Microsoft Edge hoạt động khá tệ. Một phần vì “bão không bằng ngữ pháp Việt Nam”, phần còn lại vì chúng chỉ là những tính năng mặc định cơ bản được tích hợp sẵn trên trình duyệt.
Nếu người dùng muốn kiểm tra chính tả hiệu quả hơn, hai tiện ích chính của Google là Kiểm tra chính tả nâng cao của Chrome và Microsoft Editor luôn là công cụ kiểm tra lỗi chính tả chuyên sâu được nhiều người lựa chọn, tuy nhiên hai tiện ích này có “tính năng phụ” là gửi dữ liệu về máy chủ. của hai công ty, bao gồm cả thông tin cá nhân của người dùng.
Kẻ trộm thông tin thông qua đọc chính tả
Nhiều người đã đặt câu hỏi về cơ chế hoạt động của các trình kiểm tra chính tả của Google và Microsoft. Công cụ hoạt động bằng cách thu thập dữ liệu mà người dùng gõ từ bàn phím để tải lên máy chủ, sau đó kiểm tra chính tả và trả về kết quả trong tích tắc.
Thông tin mà chính tả nhận được ngoài các tin nhắn văn bản thông thường bao gồm thông tin cá nhân, có thể là tên, địa chỉ, email, ngày sinh, thông tin liên hệ hoặc nguy hiểm hơn là mật khẩu và thông tin. Thông tin thanh toán.
Để chứng minh công cụ này là “kẻ trộm thông tin”, Josh Summitt, đồng sáng lập kiêm giám đốc công nghệ của công ty bảo mật Javascript otto-js đã theo dõi hành vi của những bộ kiểm tra chính tả này. thông qua kịch bản của công ty.
Thông qua công cụ kiểm tra otto-js, Summit phát hiện ra rằng khi nhấp vào nút “Hiển thị mật khẩu” trên một số trang đăng nhập, dữ liệu mật khẩu sau đó sẽ được gửi qua hệ thống quản lý dữ liệu và cơ sở hạ tầng đám mây dữ liệu của công ty.
Như hình dưới đây là một tài khoản trong Alibaba Cloud đăng nhập trên trình duyệt Google Chrome, mật khẩu đã được phép xuất hiện và công cụ đã tìm ra dữ liệu mật khẩu đã được truyền dưới dạng văn bản, và truyền đến googleapis.com.
Ngoài ra, Bleeping Computer còn kiểm tra xem trình kiểm tra chính tả của Google đã lấy đi những dữ liệu nào trên các trang web lớn của nước ngoài thông qua Google Chrome như:
- CNN, Facebook – thông tin tài khoản và mật khẩu được lấy, chỉ cần mật khẩu bấm vào nút “Hiển thị” là được “xem”.
- Bank of America (Ngân hàng lớn ở Mỹ), Verizon: Chỉ lấy thông tin tên người dùng.
Có thể thấy, tùy từng trang web khác nhau mà người kiểm tra chính tả quyết định lấy đi thông tin nào. Nhưng rất khó để biết chính xác 100% trang web nào được lấy và trang web nào không.
Chủ sở hữu trang web có thể ngừng lo lắng của họ chỉ với một lệnh HTML cơ bản
Mặc dù việc trao đổi thông tin trên web được bảo mật bởi giao thức HTTPS được mặc định trên bất kỳ trang web tử tế nào, nhưng trong trường hợp này, dữ liệu cá nhân của người dùng không được bảo vệ vì nó “dính”. ”Cho bên thứ ba, tại đây Google. Nói cho dễ hiểu hơn, những trang web có url bắt đầu bằng https có nghĩa là chúng đã có chứng chỉ SSL, đây là chứng chỉ giúp bảo mật thông tin giữa máy chủ của website và trình duyệt.
Nhưng trong trường hợp của trình kiểm tra chính tả, giao thức SSL chỉ mã hóa thông tin từ một trang web (ví dụ: trang của CNN) và mã hóa nó trên trình duyệt Google Chrome hoặc Microsoft Edge, nhưng không mã hóa thông tin truyền trở lại trang web. máy chủ kiểm tra chính tả bên thứ ba của Google hoặc Microsoft, do đó máy chủ của hai trình kiểm tra chính tả này có thể trích xuất thông tin cá nhân của người dùng rất dễ dàng.
Từ quan điểm của người dùng, chúng tôi có thể bảo mật thông tin của mình bằng cách tắt trình kiểm tra chính tả chuyên sâu trên Google Chrome hoặc gỡ cài đặt tiện ích mở rộng Microsoft Editor. Đối với chủ sở hữu trang web, bạn có thể ngăn trình kiểm tra chính tả đọc mật khẩu thông qua thuộc tính kiểm tra chính tả, cụ thể bằng cách bao gồm cụm từ “kiểm tra chính tả =” false ”trong HTML của hộp bật lên. , tên người dùng, mật khẩu, v.v. để bảo vệ thông tin người dùng.
Nếu bạn là người dùng có một chút kiến thức về HTML, bạn cũng có thể vào công cụ Kiểm tra trên Chrome hoặc Edge để tìm và điền cụm từ trên vào trường mật khẩu để tạm thời vô hiệu hóa trình kiểm tra chính tả. Nhưng cách này hơi rườm rà vì phải nhập mã, trong khi tắt kiểm tra chính tả thì nhanh hơn.
Kết thúc
Có lẽ những người sử dụng Internet như chúng ta đều biết rằng không thể bảo mật 100% thông tin. Đặc biệt là đối với các hãng phần mềm lớn như Microsoft, Google, Amazon,… Có thể họ đã biết mật khẩu cũng như thông tin cá nhân thông qua một cách khác ngoài công cụ kiểm tra chính tả. Nhưng đứng trên cương vị là người dùng, việc bảo vệ thông tin chừng nào, chủ động phòng chống lộ thông tin không bao giờ là thừa, trước khi có sự cố đáng tiếc xảy ra.
- Xem thêm các bài viết trong chuyên mục Khám phá
