Google Chrome のスペルチェッカーにより、パスワードが公開される可能性があります

徹底して高度なスペルチェッカーを使用したい場合は、悪いニュースがあります — あなたの個人情報が危険にさらされる可能性があります.

Google Chrome と Microsoft Edgeで拡張スペルチェックを使用すると、入力したすべてのものが送信されてチェックされます。残念ながら、これにはパスワードなど、厳密に暗号化する必要がある情報が含まれます。

この問題は、JavaScript セキュリティ会社 otto-js によって最初に報告されましたが、同社がスクリプトの動作検出をテストしているときに偶然発見されました。 otto-js の共同設立者兼 CTO である Josh Summitt 氏は、高度なスペルチェッカーが有効になっているフォーム フィールドに入力したほとんどすべての情報が、後で Google と Microsoft に送信されると説明しています。

「[パスワードを表示] をクリックすると、強化されたスペルチェックによってパスワードが送信され、基本的にデータがスペルジャックされます」と otto-js はレポートで述べています。 「世界最大のウェブサイトのいくつかは、ユーザーがログインしたりフォームに入力したりするときに、ユーザー名、電子メール、パスワードなど、Google と Microsoft の機密ユーザー PII [個人を特定できる情報] を送信する危険にさらされています。企業にとってさらに重要な懸念は、データベースやクラウド インフラストラクチャなどの内部資産に対する企業の資格情報が公開されることです。」

多くの人は、タイプミスをしていないことを確認するために「パスワードを表示」を使用しているため、多くのパスワードが危険にさらされる可能性があります。 Bleeping Computerはこれをさらにテストし、CNN と Facebook でユーザー名とパスワードを入力するとデータが Google に送信されたのに対し、SSA.gov、Bank of America、Verizon はユーザー名のみを送信したことを発見しました。

Microsoft Edge とGoogle Chromeの両方に、非常に基本的なスペルチェッカーが組み込まれています。これらのツールでは、それ以上の検証は必要ありません。入力内容はブラウザ内にとどまります。ただし、Chrome の強化されたスペルチェックまたは Microsoft のエディタのスペル チェックと文法チェッカーを使用している場合、ブラウザに入力した内容はすべて Google と Microsoft にそれぞれ送信されます。

それ自体は、予想外のことではありません。 Chrome で拡張スペルチェッカーを有効にすると、ブラウザは「ブラウザに入力したテキストが Google に送信されます」と通知します。ただし、フォームで送信されることが多い PII は除外されると考える人も多いでしょう。

これの重大度は、アクセスする Web サイトによって異なります。一部のフォーム データには、社会保障番号と社会保険番号、氏名、住所、支払い情報が含まれる場合があります。ログイン資格情報もこのカテゴリに分類されます。

改善されたスペルチェッカーを利用するために入力がブラウザの外部に送信されることは理解できますが、個人データも同じように扱われる場合、これがどれほど安全であるかを疑問視せずにはいられません.

安全を保つ方法

夜にラップトップ コンピューターで入力する暗い謎の手。
アンドリュー・ブルックス/ゲッティイメージズ

個人データを Microsoft や Google に送信したくない場合は、高度なスペルチェッカーの使用を当面停止する必要があります。これは、Chrome 設定でこの機能を無効にすることを意味します。これをコピーしてブラウザのアドレス バーに貼り付けるだけです: chrome://settings/?search=Enhanced+Spell+Check.

Microsoft Edge の場合、高度なスペルチェッカーはブラウザー アドオンの形式で提供されるため、ブラウザーでその拡張機能のアイコンを右クリックし、[ Microsoft Edge から削除] をタップするだけです。

Google は、スペルチェッカーのために処理するデータにユーザー ID を添付しないことを保証しています。ただし、これからパスワードを完全に除外しても機能します。 Microsoft はこの問題を調査すると述べたが、Bleeping Computer はそれ以上のフォローアップをまだ行っていない。 Microsoft は現在、Edge に関する別の問題を抱えています。 ハッカーはそれを使用してマルバタイジング キャンペーンを実行しています