استفاده از قابلیت «تصحیح نوشتار» ریسک سرقت اطلاعات را افزایش می‌دهد

این آسیب‌پذیری توسط جاش اسمیت، بنیان‌گذار و مدیر ارشد فنی Otto-js در حین تست قابلیت‌های تشخیص رفتار اسکریپ این شرکت شناسایی شد. سامیت و تیم Otto-js در این تست به این نتیجه رسیدند که ترکیب مناسب قابلیت‌ها در بررسی تصحیح پیشرفته نوشتار مرورگر کروم یا MS Editor مرورگر اج، به صورت ناخواسته اطلاعات کاربران را در معرض نمایش قرار ‌می‌دهد و آنها را به سرورهای گوگل و مایکروسافت ارسال ‌می‌کند. به گفته این تیم، دو قابلیت مذکور از کاربران ‌می‌خواهند که آنها را فعال کنند و به محض فعال شدن، داده‌های افراد بدون اطلاعات آنها، با اشخاص ثالث به اشتراک گذاشته ‌می‌شود. تیم Otto-js همچنین پی برد که رمزهای عبور کاربران ممکن است از طریق گزینه View Password نیز در معرض خطر باشد. این گزینه که برای چک کردن وارد شدن درست رمزعبور از سوی کاربر مورد استفاده قرار ‌می‌گیرد، ‌می‌تواند از طریق فرآیندهای مرتبط با تصحیح پیشرفته نوشتار، رمز عبور وی را بدون آنکه مطلع شود، برای افراد ناشناس ارسال کند. البته این تیم اعلام کرد که کاربران عادی، تنها افرادی نیستند که ممکن است تحت تاثیر این آسیب‌پذیری قرار گیرند. احتمال به خطر افتادن اطلاعات شخصی و محرمانه شرکت‌ها و سازمان‌ها نیز وجود دارد. بر اساس بررسی‌ها و تست‌هایی که این تیم روی ۳۰ گروه کنترل‌شده انجام دادند، مشخص شد که در بیش از ۹۶ درصد از این گروه‌ها، اطلاعات به گوگل و مایکروسافت ارسال ‌می‌شود. همچنین در این گزارش آمده که در ۷۳ درصد از این وب‌سایت‌ها و گروه‌های کنترل‌شده، مشاهده شد که رمزهای عبور به سرورهای ناشناس و شخص ثالث ارسال ‌می‌شوند. این اتفاق زمانی ‌می‌افتد که کاربران، گزینه Show Password را برای مشاهده رمز عبور خود انتخاب ‌می‌کنند.