両方に存在するスペルチェック機能 Google Chrome Microsoft Edge ブラウザーは、ユーザーが人気のある Web サイトやクラウドベースのエンタープライズ アプリでフォームに入力する際に、ユーザー名、電子メール、パスワードなどの機密ユーザー情報をそれぞれ Google と Microsoft に漏らしています。
この問題は、クライアント側のセキュリティ企業である Otto JavaScript Security (Otto-js) の研究者によって「スペルジャッキング」と呼ばれており、Alibaba、Amazon Web Services など、最も広く使用されているエンタープライズ アプリケーションから個人を特定できる情報 (PII) を公開する可能性があります。 、Google Cloud、LastPass、および Office 365 によると、 ブログ投稿 16 月 XNUMX 日に公開されました。
Otto-js の共同創設者であり CTO の Josh Summit は、特に Chrome の強化されたスペルチェックと Edge の MS エディターがブラウザーで有効になっている場合に発生するリークを発見しました。
の研究をしながら ブラウザがデータを漏らす方法 一般的である。
Summit は、これらのスペル チェック機能が、フォーム フィールドに入力されたデータ (ユーザー名、電子メール、生年月日、社会保障番号など) を Google と Microsoft に送信することを発見しました。これは、誰かがブラウザーを使用して Web サイトまたは Web サービスでこれらのフォームに入力した場合です。 、研究者は言った。
また、誰かがサイトやサービスにパスワードを入力して「パスワードを表示」機能をクリックすると、Chrome と Edge はユーザーのパスワードを漏洩し、そのデータを Google と Microsoft のサードパーティ サーバーに送信すると、彼らは述べています。
プライバシーリスクの所在
投稿した Otto-js 研究者 YouTubeのビデオ 漏えいがどのように発生するかを実証するために、人々が毎日または毎週使用し、PII にアクセスできる 50 以上の Web サイトをテストしました。 彼らはそのうちの 30 を、オンライン バンキング、クラウド オフィス ツール、ヘルスケア、政府、ソーシャル メディア、e コマースの XNUMX つのカテゴリにまたがるコントロール グループに分類し、各業界のトップ ランキングに基づいて各カテゴリの Web サイトを選択しました。
テストした 30 のコントロール グループの Web サイトのうち、96.7% が PII を含むデータを Google と Microsoft に送信し、73% は [パスワードを表示] をクリックするとパスワードを送信しました。 さらに、パスワードを送信しなかったものは、実際には問題を軽減していませんでした。 「パスワードを表示する」機能がなかっただけだと研究者は述べています。
研究者が調査した Web サイトのうち、メールと一部のサービスの問題を既に修正していたのは Google だけです。 ただし、Otto-js は、同社の Web サービスである Google Cloud Secret Manager が依然として脆弱であることを発見しました。
一方、人気のあるシングル サインオン サービスである Auth0 は、研究者が調査した対照グループには含まれていませんでしたが、Google 以外で問題を正しく軽減した唯一の Web サイトでした。
Google の広報担当者によると、ユーザーのオプトインが必要な Google の強化されたスペル チェック機能では、匿名化された方法でデータが処理されます。
「ユーザーが入力したテキストは機密性の高い個人情報である可能性があり、Google はそれをユーザー ID に関連付けず、サーバー上で一時的に処理するだけです」と彼は Dark Reading に語っています。 「ユーザーのプライバシーをさらに確保するために、パスワードをスペルチェックから積極的に除外するように取り組んでいます。 セキュリティ コミュニティとの協力に感謝しており、ユーザーのプライバシーと機密情報をより適切に保護する方法を常に模索しています。」
スペルチェック機能が有効になっている場合、多くのエンタープライズ クラウドベース アプリケーションのユーザーも、Chrome および Edge でアプリケーションを使用しているときにフォームに入力すると危険にさらされます。 前述のサービスのうち、Amazon Web Services (AWS) と LastPass のセキュリティ チームが Otto-js に対応し、すでに問題を解決していると研究者は述べています。
データの行き先
発生する大きな疑問の XNUMX つは、データが Google と Microsoft によって受信された後にどうなるかということですが、研究者は明確に答えることはできないと述べています。
この時点で、データが受信側に保存されているかどうか、またはその場合、誰がそのセキュリティを管理しているかは誰にもわかりません。 また、データがパスワードなどの既知の機密データと同じレベルのセキュリティで管理されているのか、それとも製品チームがモデルを改良するためのメタデータとして使用しているのかも明らかではないと、彼らは述べています.
いずれにせよ、研究者は、この問題により、Google や Microsoft などのテクノロジー企業が顧客、従業員、および企業に関する機密情報、特にパスワードに関して非常に多くのアクセス権を持っていることへの懸念が再び高まっていることを観察しました。
「パスワードは、意図した相手と共有する秘密であることを意図しており、他の誰とも共有することはできません」と彼らは投稿に書いています. 「共有秘密はハッシュ化され、元に戻せないはずですが、この機能は「知る必要がある」という基本的なセキュリティ原則に違反しており、 プライバシーの侵害に設立された地域オフィスに加えて、さらにローカルカスタマーサポートを提供できるようになります。」
見過ごされやすい問題
さらに、データ漏えいは、さまざまな理由でユーザーや企業に広まる可能性があると研究者は指摘しています。 XNUMX つは、データを公開するブラウザーの機能は実際にはユーザーにとって役立つため、それらの機能がオンになり、ユーザーの知らないうちにデータが公開される可能性があることです。
「懸念されるのは、これらの機能を有効にするのがいかに簡単で、ほとんどのユーザーがバックグラウンドで何が起こっているかを実際に認識せずにこれらの機能を有効にすることです」と Summit は言います。
Otto-js のエンジニアリング担当バイス プレジデントである Walter Hoehn 氏は、パスワードの漏えいは、ブラウザのスペル チェックと Web サイト機能の間の「意図しない相互作用」としても発生し、簡単に気付かれないようにする可能性があると述べています。
「Chrome と Edge の強化されたスペル チェック機能により、デフォルトの辞書ベースの方法が大幅にアップグレードされます」と彼は言います。 「同様に、パスワードをクリアテキストで表示するオプションを提供する Web サイトは、特に障害のあるユーザーにとって、より使いやすくなります。」
軽減の道
Web サイトまたはサービス側で問題が解決されていない場合でも、企業はすべての入力フィールドに「spellcheck=false」を追加することで、フォームに入力された顧客の PII を共有するリスクを軽減できますが、これによりユーザーや研究者に問題が生じる可能性があります。認めた。
あるいは、企業は機密データを含むフォーム フィールドにのみコマンドを追加してリスクを排除するか、フォームの「パスワードを表示する」機能を削除することもできます。 これはスペルジャッキングを防ぐものではありませんが、パスワードの送信は防ぐことができると研究者は述べています。
Otto-JS によると、企業は、強化されたスペルチェック機能を無効にし、従業員が未承認のブラウザ拡張機能をインストールするのを制限するエンドポイント セキュリティ対策を実装することで、会社所有のアカウントの内部露出を軽減することもできます。
消費者は、ブラウザにアクセスしてそれぞれのスペルチェックの犯人を無効にすることで、知らないうちに Microsoft と Google にデータが送信されるリスクを軽減できる、と研究者は付け加えました。
