Il controllo ortografico di Chrome può condividere le password con Google: ecco quando succede

Gli strumenti per il controllo ortografico sono particolarmente utili per evitare di commettere errori materiali durante la digitazione del testo.
Anche i principali browser Web integrano un correttore ortografico: nel caso di Google Chrome si presenta in una doppia versione. Digitando chrome://settings/?search=controllo+ortografico nella barra degli indirizzi si trovano due opzioni: Controllo ortografico di base e Controllo ortografico avanzato. Nel primo caso la verifica viene effettuata in locale, nel secondo c’è uno scambio di dati con i server Google in modo da migliorare il comportamento e l’efficacia del controllo ortografico.

Josh Summitt, co-fondatore e CTO di Otto, si è accorto che attivando il controllo ortografico avanzato il browser può inviare ai server di Google anche informazioni personali come nomi e cognomi, indirizzi di residenza, numeri telefonici, codici fiscali ma soprattutto username e password.
L’invio della password può verificarsi nel momento in cui l’utente attiva la casella Mostra password nel form di login di qualunque servizio online.

È vero che i dati di autenticazione vengono trasferiti via HTTPS quindi non possono essere sottratti da un utente terzo ma perché Google dovrebbe venirne a conoscenza?

Fintanto che non saranno introdotte delle modifiche al comportamento di Chrome, il suggerimento è quello di disattivare il controllo ortografico avanzato optando per quello di base.
Lato Google la risoluzione del problema sarebbe piuttosto semplice perché, almeno nel caso delle credenziali di autenticazione, potrebbe escludere la condivisione del contenuto dei campi di tipo password. Più complicato disattivare il controllo ortografico sui form nel loro complesso.

Gli utenti, oltre a poter disattivare il controllo ortografico avanzato, possono anche evitare l’uso della casella Mostra password.
I webmaster, invece, possono aggiungere l’attributo spellcheck=false al campo password lato HTML. Curioso che nel caso di Twitter il campo password utilizzato nel modulo di login sia impostato su spellcheck=false.

Lo stesso problema riscontrato in Chrome si rileva anche con Microsoft Edge ma solo ed esclusivamente installando l’add-on Editor.

Vale la pena osservare che il controllo password di Chrome che consente di verificare se le password memorizzate nel browser sono sicure oppure, viceversa, sono note agli aggressori informatici (ad esempio perché sottratte nel corso di un attacco), trasferisce le stesse sotto forma di hash: Google non elabora quindi le password degli utenti in chiaro.