【安全圈】小心！使用谷歌等浏览器内置的增强拼写检查将被泄密

关键词

谷歌浏览器

根据蓝点网消息，拼写检查是目前主要浏览器都提供的功能，当用户在表单位置填写内容时浏览器可自动检测是否有拼写错误。

正常情况下拼写检查功能是被默认开启的，该功能基于本地引擎因此识别率有限，所以浏览器提供增强功能。

若用户主动开启增强拼写检查功能则表单位置的内容都会被发送给开发商，在服务器上在线监测后返回结果。

尽管此功能有助于提高拼写检查效率但也意味着用户的隐私会被泄露，没人知道这些开发商是否分析该内容。

甚至有可能泄露密码：

浏览器自带的密码保存功能是加密上传到服务器的，仅在用户本地登录账号后才可以解密数据然后自动填充。

然而增强拼写检查功能并不是加密的，该功能会将用户输入的所有内容都上传云端，这可能造成密码泄露等。

为什么还会泄露密码呢？如果自动填充密码后，你点击密码框后面的显示明文密码那字符内容也会自动上传。

测试显示包括谷歌浏览器在内的多个浏览器都有类似功能，也都上传用户内容因此存在潜在的隐私安全问题。

密码管理器LastPass经过检查后确认自己也受影响，实际上其他密码管理器也都存在类似问题急需进行改进。

改进方法是在输入字段里添加spellcheck=false属性，添加该属性后浏览器会自动忽略附带该属性的输入框。

谷歌承诺改进安全性：

作为用户量最多的浏览器开发商，谷歌并没有对此问题遮遮掩掩，谷歌承认开启增强功能后所有数据被上传。

但谷歌也解释称该公司知道有时候上传的内容是敏感的，因此谷歌在服务器上进行拼写检查后就会定期删除。

这些数据也不会被归因于到特定用户上，也就是至少目前谷歌不会在拼写检查功能里添加对用户的追踪符号。

然而谷歌也知道有时候该功能会上传密码等隐私数据，谷歌承诺在后面改进流程尽可能将密码排除在检查外。

另外谷歌也强调开启增强拼写检查时已经标注数据会被发送到服务器，用户可以根据自己需要选择关闭功能。