Así, si en Chrome activamos la opción de corrector ortográfico mejorado (opt-in), o en Edge instalamos el add-on de corrección ortográfica y gramatical, parece quedar patente que, en ambos casos, se transmiten los campos de usuario y contraseña a los servidores de verificación. En el caso de la contraseña, parece que tenemos que darle a "visualizar contraseña" para que suceda.
El autor del estudio expresó además su inquietud sobre que esto podría estar sucediendo en aplicativos tales como:
Quote
Office 365, Alibaba Cloud, Google Cloud - Secret Manager, Amazon AWS - Secrets Manager, and LastPass.
AWS y Lastpass ya ha modificado su código para erradicar este efecto.Otro elemento más de "avance", que no mide bien el alcance potencial de los riesgos asociados. Aunque no se conoce por ahora explotación alguna de este tipo de situaciones, y cabría un contexto de dónde aplican, nadie quiere ver sus credenciales de acceso a aspectos relativos a las criptomonedas (ni de ningún otro ámbito) yendo a parar a servidores por estos mundos …
Ver: https://www.bleepingcomputer.com/news/security/google-microsoft-can-get-your-passwords-via-web-browsers-spellcheck/