技術情報サイト、Lifewireへの Mayank Sharmaによる投稿、“The Spell Checker in Your Web Browser Could Have Leaked Your Passwords : But it probably isn’t the browser’s fault” (2022年9月22日)より
- Google Chrome と Microsoft Edge のスペルチェック強化オプションは、テキストボックス内に入力されたすべてのもの (パスワードを含む) をサーバーに送信します。
- 既にブラウザ側でこれを回避するための措置を講じた可能性がありますが、問題の要因はWebサイト側にもあり、特定のテキストボックスではスペルチェッカーが無効になっている可能性があります。
- この問題は、私たちがクラウドのサービスへの接続に依存している点を思い起こさせるものとして、プライバシー保護の専門家らが警告しています。
多くのセキュリティ関係者が、特にインターネット上では、便利さとプライバシーを常に両立できるとは限らないと長い間主張してきました。
JavaScriptのセキュリティの専門企業、ottoの共同設立者兼CTOの Josh Summitt 氏は、特定ながら一般的な条件下で、Google Chrome と Microsoft Edgeの拡張スペルチェックが機密情報をそれぞれのブラウザに対応する企業に漏らしていることを検知しました。
AppviewX のフィールド CISO である Alon Nachmany 氏は、Lifewire に次のようにメールでコメントしました。「Chrome、Gmail、または Googleの検索エンジンさえもGoogleの製品であるとの印象を持っている人がいるならば、これは素朴で信じられないほどの誤解です。私たちこそがGoogleの製品です。」
誤ったアプローチ
どちらのブラウザにも基本的なスペル チェック機能が実装されデフォルトで有効になっており、GoogleやMicrosoftにデータを送信することはありません。ただし、Summitt は、Chrome の「拡張スペルチェック」と、Edgeの「Microsoftエディター」が有効になっている場合、ユーザー名、メールアドレス、社会保障番号などを含め、テキストボックスに入力したすべての情報を送信することを発見しました。危惧されることに「パスワードを表示」の使用でパスワードが正しいかを確認すると、これらの強化されたスペルチェッカーによってパスワードが送信されることさえあります。
Bleeping Computerによるテストによると、強化されたスペルチェッカーは、Facebook、SSA.gov、Bank of America、Verizon などの複数のWeb サイトから、ログインの資格情報をGoogleに送信しました。
「基本的なことのように思われるかもしれませんが、WEBページの入力フィールドは、ブラウザーがその使用法を解釈することが必ずしも容易であるとは限りません」と Nachmany 氏は指摘し、ブラウザーではなくWebサイト側に解消を任せるのが最善であることを強調しました。
加えて、BeyondTrust社のEMEA/APAC地域のチーフセキュリティストラテジストであるBrian Chappell氏は、多くのWeb サイトのパスワード表示機能は、サイト自体で個別に実装されていると説明します。
「これは、GoogleのChromeがパスワードフィールドに正しく反応しないというケースではなくて、スペルチェックの対象外としてWEBページ上でマークされていないテキストボックスにブラウザが正しく反応するためです」と Chappell氏は述べています。「これを解決するのは、この機能を提供する各Webサイト側です。」
Chappell氏は両ブラウザの懸念は、デフォルトで有効になっているデフォルトのスペルチェックではなく、強化されたサービス機能の使用に関するものであることと明確にしています。一方で、GoogleとMicrosoftは、個人情報がサーバーに送信される可能性があることをユーザーに通知し、各々の強化されたスペルチェッカーを有効にした場合、このデータがどのように処理され安全確保をするのかについて、より適切な対応ができる筈だとも考えています。
多すぎるクラウド
一歩離れてより大きな問題に視野にいれると、Librecast Projectのプライバシー擁護者であり、コミュニティマネージャーであるEsther Payne 氏は、私たちはホステッドサービスとのやり取りに慣れつつあるものの、その結果を完全には理解できていないと考えています。
「そもそも、なぜスペルチェッカーがそれぞれの『基地』と通信する必要があったのでしょうか? スペルチェックの場合、辞書がローカルではなかったのはなぜですか?」 Payne氏は、Lifewireとのメール交換で修辞的に疑問を投げかけました。
この問題は、私たちがこの業界で何年も見てきたことを象徴しており、過去の経験から学べなかったことを、教えてくれるものではありません
Nachmany氏は同様に、人工知能を使用したスペルチェック、文法チェック、さらには私たちの書き込みをサポートするブラウザ拡張機能についても警告を発しています。これらの推奨事項がどこから来ているのかを熟考するように促し、データを保護する責任は私たちの側にしっかりとあることを強調します.
「Chrome、Gmail、およびGoogle 検索エンジンは、情報を収集して、私たちにコンタクトする能力を維持するための、単なるツールです」と Nachmany 氏は述べています。 「現実には、プライバシーが多すぎるとGoogleの収益が損なわれる可能性があり、ほとんどのテクノロジー企業と同様に、セキュリティとプライバシーの間の紙一重の境界線を日常的に歩まなければなりません。」
彼は、当該企業がこの問題に対処する措置を講じるであろうと信じていますが、他の懸念も今後実現化するだろうと確信しています.
これらの断続的な問題の問題の根源は、テクノロジーの巨人が形成期にあった、開発へのアプローチにあるとPayne氏は信じています。
「『素早く動いて物事を打破する』という初期の文化は、システムを混乱させるだけでなく、個人情報を危険にさらすことにもなります」と Payne 氏は述べています。