Spell-Jacking 21.09.2022, 08:51 Uhr

Microsoft Edge und Chrome geben Benutzernamen, Passwörter und mehr weiter

Wenn Sie in Edge den Microsoft Editor oder in Chrome die erweiterte Rechtschreibung nutzen: Daten, die Sie in Formularfelder eintippen, werden direkt an Microsoft oder Google gesendet. Das gilt sogar für Passwörter, wie die Webseite otto-js.com herausgefunden hat.
In blau gehaltene Ziergrafik mit dem Symbol eines Vorhängeschlosses
Symbolbild
(Quelle: Pixabay)
Die erweiterte Rechtschreibung von Chrome und der Microsoft Editor (Add-on) von Edge senden Daten, die Sie in Formularfelder eintippen, direkt an Google und Microsoft, berichtet «Neowin» (engl.) unter Berufung auf die Webseite otto-js.com. Darunter sind Benutzernamen, E-Mail-Adressen, Geburtsdatum oder Sozialversicherungsnummer. Im Grunde wird alles, was in den Feldern steht, an Webseiten, bei denen Sie sich mit einem dieser Browser anmelden, verschickt, wenn diese Funktionen aktiviert sind. Dieser Vorgang wird auch «Spell-Jacking» genannt.

Auch Passwörter werden übermittelt

Zudem werden sogar Passwörter verschickt, wenn die Schaltfläche Kennwort anzeigen (Augen-Symbol) angeklickt wird. Denn dabei wird das Kennwort in sichtbaren Text umgewandelt, der dann von der Rechtschreibung überprüft wird.
Die Funktion Kennwort anzeigen in Microsoft Edge
Seien Sie sich bewusst: Wenn Sie das Add-on Microsoft Editor in Edge verwenden und im Edge-Browser das Kennwort anzeigen lassen, wird das Passwort in sichtbaren Text umgewandelt
Quelle: Screenshot/PCtipp.ch
Das Team von otto-js hat 30 Webseiten aus den Bereichen Onlinebanking, Cloud-Office-Tools, Gesundheitswesen, Regierung, Soziale Medien und E-Commerce getestet. Dem Bericht zufolge schickten von den 30 getesteten Webseiten der Kontrollgruppe 96,7 % davon Daten mit personenbezogenen Daten an Google und Microsoft zurück.

Die Top 5 der betroffenen Webseiten

Am stärksten betroffen sind, bzw. waren, nach Angaben von otto-js.com folgende fünf Webseiten:
  1. Office 365
  2. Alibaba - Cloud Service
  3. Google Cloud - Secret Manager*
  4. AWS - Secrets Manager Das Problem wurde bereits vollständig behoben
  5. LastPass: Das Problem wurde bereits vollständig behoben
*Der Single-Sign-On-Dienst Auth0 gehörte nach Angaben des Otto-Teams nicht zur Kontrollgruppe, sei aber neben Google die einzige Website gewesen, die das Problem korrekt entschärft habe.
Anmeldescreen der Alibaba-Webseite
Ein Otto-Mitarbeiter meldet sich beim Alibaba-Cloud-Konto des Unternehmens an
Quelle: otto-js.com
Die Datenübermittlung am Beispiel der Alibaba-Seite
Dieser Screenshot zeigt, wie die Anmeldedaten (Kennwort) des Mitarbeiters an Google gesendet werden, während er sich beim Alibaba-Cloud-Konto des Unternehmens anmeldet.
Quelle: otto-js.com
Lesen Sie auf der nächsten Seite, welche Unternehmen Massnahmen getroffen haben und was PCtipp rät.

Massnahmen der Unternehmen • PCtipp meint

Wurden Massnahmen getroffen?

Die einzige Webseite, die das Problem entschärft habe, sei Google, allerdings nur für einige Dienste und nicht für alle von otto-js getesteten Produkte des Unternehmens. Aber auch andere Unternehmen haben bereits Massnahmen getroffen, darunter AWS (Amazon Web Services) und der Passwortmanager LastPass, welche gegenüber otto-js.com bestätigt haben, dass ein Update das Problem entschärft habe.

PCtipp meint

Bis das Problem behoben ist, sollten Sie die Edge-Erweiterung Microsoft-Editor: Rechtschreibung- und Grammatikprüfung und die erweiterte Rechtschreibung in Chrome nicht verwenden. Die Rechtschreibprüfung in Chrome deaktivieren Sie via Einstellungen/Sprachen (s. Screenshot).
Die Funktion erweiterte Rechtschreibung in Google Chrome
Immerhin ist hier transparent angegeben, dass der eingegebene Text an Google gesendet wird
Quelle: Screenshot/PCtipp.ch
Alternativ können Sie das Online-Wörterbuch von Duden bzw. die Online-Textprüfung Duden-Mentor, welche 7 Tage gratis getestet werden kann. Lesen Sie auch unseren Artikel Die besten Online-Rechtschreibprüfungs-Tools. Für Übersetzungshilfe können Sie auf Webtools wie DeepL zurückgreifen, von dem auch eine PC-Version verfügbar ist.
Auf mehreren Seiten lesen
Artikel drucken
Claudia Maag
Das könnte Sie auch interessieren
#LockedShields2024 vor 2 Tagen
Auch Schweizer Armee nimmt an grösster internationaler Cyber-Übung teil
Das Kommando Cyber der Schweizer Armee nimmt im April zusammen mit nationalen und internationalen Partnern an der weltweit grössten Cyber Defense Übung #LockedShields2024 teil.
 
vor 2 Tagen
WebGPU 15.04.2024
Sicherheitslücke in Browser-Schnittstelle erlaubt Rechnerzugriff via Grafikkarte
Forschende der TU Graz waren über die Browser-Schnittstelle WebGPU mit drei verschiedenen Seitenkanal-Angriffen auf Grafikkarten erfolgreich. Die Angriffe gingen schnell genug, um bei normalem Surfverhalten zu gelingen.
 
15.04.2024
Betrugsversuch 14.04.2024
Angeblicher TWINT-Gutschein entpuppt sich als Account Takeover
Cyberkriminelle versprechen in einem E-Mail, welches angeblich von TWINT stammt, einen Treuegutschein im Wert von 100 Franken. Mit den erhaltenen Informationen versuchen die Betrüger das TWINT-Konto zu übernehmen.
 
14.04.2024
World Cybercrime Index 11.04.2024
Cybercrime konzentriert sich auf sechs Länder
China, Russland, Ukraine, USA, Rumänien und Nigeria sind laut World Cybercrime Index führend.
 
11.04.2024