警告: Edge、Chrome の強化されたスペルチェック機能を有効にしないでください

Home » ブラウザ

読書時間アイコン 4分。 読んだ

カレンダーアイコン 上で公開

by シャロンベネット 

上の公表

この記事を共有する

読者は MSpoweruser のサポートを支援します。私たちのリンクを通じて購入すると、手数料が発生する場合があります。 ツールチップアイコン

MSPoweruser の編集チームの維持にどのように貢献できるかについては、開示ページをお読みください。 続きを読む

の強化されたスペルチェック機能を使用している場合 エッジ(Edge)クロム、新しいレポートは、この機能が実際にフォームデータを上記のブラウザーを所有する技術の巨人に送信できることを示しているため、それらを終了する時が来ました. (経由 漂白コンピュータ)

による otto-js という名前の JavaScript セキュリティ会社、これは Chrome の強化されたスペル チェック機能 (chrome://settings/?search=Enhanced+Spell+Check) および Edge の Microsoft Editor Spelling & Grammar Checker ブラウザ アドオン ユーザーが手動でアクティブ化します。 それにもかかわらず、両方のブラウザで独自の基本的なスペルチェッカーがデフォルトで有効になっていますが、強化された機能のように動作しないため、セキュリティ上のリスクはありません.

有効にすると、機能は Microsoft と Google にデータを送信できます。 送信される情報は、特定の Web サイトで入力しているフォームによって異なります。つまり、共有してフォーム フィールドに入力する情報が多いほど、強化されたスペルチェック機能が有効になっているときに、より多くのデータが企業に送信される可能性があります。 たとえば、アクセスしている Web サイトでは、氏名、自宅の住所、電子メール アドレス、社会保障番号、パスポート番号、運転免許証番号、クレジット カード番号、日付などの個人を特定できる情報 (PII) の提供が求められる場合があります。出産など。 さらに悪いことに、otto-js 研究チームによると、あなたのパスワードは Microsoft や Google にも送信される可能性があり、このプロセスを「スペルジャッキング」と呼んでいます。プライバシーの侵害。」

otto JavaScript Security の共同創設者兼 CTO である Josh Summitt 氏は、同社のスクリプト ビヘイビアー検出をテストしているときに、この発見を共有しました。 「さまざまなブラウザーでのデータ漏洩を調査しているときに、機能の組み合わせが有効になると、機密データが Google や Microsoft などのサードパーティに不必要に公開されることがわかりました。 懸念されるのは、これらの機能を有効にするのがいかに簡単で、ほとんどのユーザーがバックグラウンドで何が起こっているかを実際に認識せずにこれらの機能を有効にすることです.」

Alibaba Cloud デモでのスペルジャッキング リーク
Google に送信される Alibaba Cloud アカウントの認証情報

Edge と Chrome を使用していて、強化されたスペルチェック機能が動作している限り、すべての Web サイトでスペル ジャッキングが発生する可能性があります。 それを証明するために、otto-js は、後で Google に送信された従業員の資格情報 (具体的にはパスワード) を使用して会社の Alibaba Cloud アカウントにログインしたときに、どのように発生したかを共有しました。 さらに、otto-js は、サーバー、データベース、企業の電子メール アカウント、パスワード マネージャーなど、企業のクラウド インフラストラクチャがスペル ジャッキングによってどのように公開されるかを示すビデオ デモンストレーションを共有しました。

「このビデオでは、職場での一般的なシナリオを使用して、ブラウザで強化されたスペルチェック機能を有効にするのがいかに簡単か、従業員が知らないうちに会社を公開する方法を説明しています」と otto-js は付け加えます。 「ほとんどの CISO は、会社の管理資格情報が無意識のうちに平文でサード パーティ (一般的に信頼しているサード パーティであっても) と共有されていることを知って、非常に警戒するでしょう。」

JavaScript セキュリティ会社は、この問題の影響を受ける可能性のある企業とサービスの名前をさらに強調しました。 これには、Alibaba – Cloud Service、Office 365、および Google Cloud – Secret Manager が含まれます。 AWS – Secrets Manager と LastPass はもともとリストに含まれていましたが、otto-js は両方とも「すでに問題を完全に軽減している」と述べています。

Chrome の強化されたスペル チェック機能と Edge の Microsoft Editor Spelling & Grammar Checker ブラウザ アドオンをそのままにして非アクティブ化する以外に、企業が「spellcheck=false」を追加することでスペル ジャッキングの問題を防止できる方法が他にもあると otto-js は述べています。

「企業は、すべての入力フィールドに 'spellcheck=false' を追加することで、顧客の PII を共有するリスクを軽減できますが、これはユーザーに問題を引き起こす可能性があります」と otto-js は示唆しています。 「別の方法として、機密データを含むフォーム フィールドだけに追加することもできます。 企業は「パスワードを表示する」機能を削除することもできます。 これはスペルジャッキングを防ぐものではありませんが、ユーザーのパスワードが送信されるのを防ぎます。 企業は、otto-js のようなクライアント側のセキュリティ ソフトウェアを使用して、サードパーティのスクリプトを監視および制御することもできます。」

セキュリティ会社は、Microsoft と Google に送信されたデータが保存されているかどうか、またはそれらがどのように管理されているかは不明であると述べました。 Microsoft はこれについてまだコメントを発表していませんが、Google の広報担当者は BleepingComputer に対し、「Google はそれをユーザー ID に関連付けることはせず、サーバー上で一時的に処理するだけです」と語っています。

シャロンベネット

シャロンベネット シールド

レポーター

Sharron は、mspoweruser.com の技術レポーターです。 彼女は、ソニー、サムスン、グーグルなどのブランドのほとんどのテクノロジー ニュースをカバーしています。

ユーザーフォーラム

0メッセージ