Không cần hack, Google và Microsoft vẫn có thể "xin nhẹ" mật khẩu của bạn nhờ tính năng kiểm tra chính tả trên trình duyệt

Ngoài tính năng kiểm tra chính tả mặc định trên Google Chrome và Microsoft Edge vốn hoạt động khá 'cùi'. Một phần do 'phong ba bão táp cũng không bằng ngữ pháp Việt Nam', phần còn lại là do chúng chỉ là tính năng mặc định cơ bản tích hợp trong trình duyệt.

Nếu người dùng muốn kiểm tra chính tả hiệu quả hơn, hai tiện ích chính chủ từ Google là Chrome's Enhanced Spellcheck và Microsoft Editor luôn là công cụ kiểm tra chính tả chuyên sâu được nhiều người lựa chọn, nhưng hai tiện ích này lại có 'tính năng phụ' là gửi dữ liệu về cho máy chủ của hai hãng, bao gồm thông tin cá nhân của người dùng.

Đã có nhiều người đặt nhiều nghi vấn về cơ chế hoạt động của trình kiểm tra chính tả từ Google và Microsoft. Công cụ hoạt động theo phương pháp thu các dữ liệu mà người dùng gõ ra từ bàn phím để đưa lên máy chủ, sau đó kiểm tra chính tả và trả về kết quả trong tích tắc.

Thông tin mà trình chính tả nhận ngoài những tin nhắn văn bản thông thường thì có cả thông tin cá nhân, có thể là tên, địa chỉ, email, ngày sinh, thông tin liên hệ, hay nguy hiểm hơn là mật khẩu và thông tin thanh toán.

Để chứng minh được công cụ này là một 'kẻ cắp thông tin', Josh Summitt, đồng sáng lập và giám đốc công nghệ của công ty bảo mật Javascript otto-js đã theo dõi hành vi của các công cụ kiểm tra chính tả này thông qua bản thảo (script) của công ty.

Thông qua công cụ kiểm tra của otto-js, Summit đã khám phá ra được rằng khi bấm vào nút 'Hiện mật khẩu' trên một số trang đăng nhập, dữ liệu mật khẩu khi đó sẽ được gửi qua hệ thống quản lý data và cơ sở hạ tầng đám mây dữ liệu của công ty.

Như hình bên dưới là một tài khoản ở trình đăng nhập Alibaba Cloud trên trình duyệt Google Chrome, mật khẩu đã được cho phép hiện và công cụ đã tìm thấy dữ liệu mật khẩu đã bị truyền đi dưới dạng chữ (text), và truyền đến trang googleapis.com.

Ngoài ra trang Bleeping Computer còn kiểm định dữ liệu nào mà trình kiểm tra chính tả của Google đã lấy đi trên các trang web lớn khác của nước ngoài thông qua Google Chrome như:

• CNN, Facebook - bị lấy thông tin tài khoản và mật khẩu, riêng mật khẩu bấm nút 'Hiện' thì mới bị 'xem'.
• Bank of America (Ngân hàng lớn tại Mỹ), Verizon: Chỉ bị lấy thông tin username.

Có thể thấy, tuỳ thuộc vào website khác nhau mà công cụ kiểm tra chính tả quyết định lấy đi thông tin nào. Nhưng thật khó để có thể biết chính xác 100% website nào bị lấy, website nào không bị.

Dẫu cho việc trao đổi thông tin trên web được bảo mật bởi giao thức HTTPS vốn đang là mặc định trên bất kỳ trang web chỉn chu nào, nhưng trong trường hợp này dữ liệu cá nhân của người dùng không được bảo vệ vì đã 'dính' đến bên thứ ba, ở đây là Google. Để dễ hiểu hơn, các trang web có url bắt đầu bằng https nghĩa là chúng đã có chứng chỉ SSL, đây là chứng chỉ giúp bảo mật thông tin giữa server của trang web đó và trình duyệt.

Nhưng trong trường hợp có trình kiểm tra chính tả, thì giao thức SSL chỉ mã hoá thông tin từ trang web (ví dụ trang của CNN) và mã hoá trên trình duyệt Google Chrome hoặc Microsoft Edge nhưng lại không mã hoá thông tin truyền về server bên thứ ba của trình kiểm tra chính tả của Google hoặc Microsoft, vì thế máy chủ của hai trình kiểm chính tả này có thể khai thác được thông tin các nhân người dùng rất dễ dàng.

Ở khía cạnh của người dùng, chúng ta có thể tự bảo mật thông tin bằng cách tắt trình kiểm tra chính tả chuyên sâu trên Google Chrome hoặc gỡ cài đặt tiện ích Microsoft Editor. Còn đối với những chủ trang web có thể ngăn chặn tính năng đọc mật khẩu của các trình kiểm tra chính tả thông qua thuộc tính spellcheck, cụ thể là đưa cụm 'spellcheck='false' vào trong phần HTML của cách ô điền thông tin, tên đăng nhập, mật khẩu,... để bảo vệ thông tin người dùng.

Nếu bạn là một người dùng biết sơ về HTML, bạn cũng có thể vào công cụ Inspector trên Chrome hoặc Edge để tìm và điền cụm trên vào ô điền mật khẩu để tạm thời không cho trình kiểm tra chính tả hoạt động. Nhưng cách này hơi cồng kềnh vì bạn phải mất công điền mã, trong khi tắt kiểm chính tả còn lẹ hơn.

Có lẽ những người sử dụng Internet như chúng ta đều biết rằng không thể bảo mật 100% thông tin được. Đặc biệt đối với các hãng cung cấp các phần mềm lớn như Microsoft, Google, Amazon,... Có thể họ đã biết mật khẩu cũng như thông tin cá nhân thông qua một cách khác ngoài các trình kiểm tra chính tả. Nhưng đứng dướicương vị người dùng, bảo vệ thông tin được chừng nào thì hay chừng đó, việc chủ động ngăn chặn lộ thông tin là không bao giờ dư thừa, trước khi có bất kỳ sự cố đáng tiếc nào xảy ra.

• Xem thêm các bài viết chuyên mụcKhám phá