استفاده از قابلیت «تصحیح نوشتار» ریسک سرقت اطلاعات را افزایش میدهد
این آسیبپذیری توسط جاش اسمیت، بنیانگذار و مدیر ارشد فنی Otto-js در حین تست قابلیتهای تشخیص رفتار اسکریپ این شرکت شناسایی شد. سامیت و تیم Otto-js در این تست به این نتیجه رسیدند که ترکیب مناسب قابلیتها در بررسی تصحیح پیشرفته نوشتار مرورگر کروم یا MS Editor مرورگر اج، به صورت ناخواسته اطلاعات کاربران را در معرض نمایش قرار میدهد و آنها را به سرورهای گوگل و مایکروسافت ارسال میکند. به گفته این تیم، دو قابلیت مذکور از کاربران میخواهند که آنها را فعال کنند و به محض فعال شدن، دادههای افراد بدون اطلاعات آنها، با اشخاص ثالث به اشتراک گذاشته میشود. تیم Otto-js همچنین پی برد که رمزهای عبور کاربران ممکن است از طریق گزینه View Password نیز در معرض خطر باشد. این گزینه که برای چک کردن وارد شدن درست رمزعبور از سوی کاربر مورد استفاده قرار میگیرد، میتواند از طریق فرآیندهای مرتبط با تصحیح پیشرفته نوشتار، رمز عبور وی را بدون آنکه مطلع شود، برای افراد ناشناس ارسال کند. البته این تیم اعلام کرد که کاربران عادی، تنها افرادی نیستند که ممکن است تحت تاثیر این آسیبپذیری قرار گیرند. احتمال به خطر افتادن اطلاعات شخصی و محرمانه شرکتها و سازمانها نیز وجود دارد. بر اساس بررسیها و تستهایی که این تیم روی ۳۰ گروه کنترلشده انجام دادند، مشخص شد که در بیش از ۹۶ درصد از این گروهها، اطلاعات به گوگل و مایکروسافت ارسال میشود. همچنین در این گزارش آمده که در ۷۳ درصد از این وبسایتها و گروههای کنترلشده، مشاهده شد که رمزهای عبور به سرورهای ناشناس و شخص ثالث ارسال میشوند. این اتفاق زمانی میافتد که کاربران، گزینه Show Password را برای مشاهده رمز عبور خود انتخاب میکنند.