L’esperto di sicurezza e fondatore di otto-js Josh Summitt avrebbe scoperto che i tool per il controllo ortografico del browser Google Chrome e l’estensione Microsoft Editor del concorrente Edge invierebbero dati sensibili verso i server delle rispettive case madri. Per evidenziare tale problematica sarebbero stati eseguiti dei test basati su si Web che presentano procedure di login tramite password.
E’ bene precisare che tale comportamento (denomicato spell-jacking) non si verificherebbe in tutti i casi, il controllo ortografico di base non sarebbe infatti condizionato all’invio di informazioni verso l’esterno. Ciò avverrebbe soltanto quando si attiva il controllo ortografico avanzato nell’applicazione di Mountain View o quando si usa Microsoft Editor su Edge.
I dati inviati verso i Data Center aziendali coinvolti sarebbero di diverso tipo, come per esempio le già citate password, gli username, le informazioni relative ai pagamenti, le date di nascita e gli indirizzi. Si tratterebbe in sostanza di informazioni utili per l’identificazione di un utente e quindi utilizzabili per la sua identificazione e profilazione.
Se da una parte si deve tenero conto delle possibili implicazioni sulla privacy, è importante ricordare che il linguaggio HTML mette a disposizione un attributo globale, chiamato appunto spellcheck, che permette di stabilire in che modo un determinato elemento deve essere trattato durante le operazioni di spellchecking da parte delle applicazioni.
spellcheck infatti può essere impostato su true, determinando che l’elemento interessato può essere controllato per individuare eventuali errori ortografici, o su false per ottenere l’effetto contrario. Nel caso in cui il valore di questo attributo non dovessere essere definito dallo sviluppatore si prenderanno in considerazione le impostazioni di default del browser.