GoogleとMicrosoftの拡張スペルチェック機能を使用すると、個人データがより脅かされる

ジャカルタ - 追加のスペルチェック機能または拡張スペルチェックは、タイプミスがないことを確認するために非常に便利ですが、実際にはこの機能はユーザーの個人データを危険にさらす可能性があります。

Google Chrome および Microsoft Edge ブラウザーには、拡張スペルチェック機能があることが知られていますが、使用時の利便性の中で、ユーザーの個人データも広く拡散するリスクがあります。

JavaScript セキュリティ会社 otto-js の研究者は、両方のブラウザーで拡張スペルチェックツールを使用することについて二度考えさせられるような発見をしました。

ツールを有効にすると、任意のウェブサイトに入力されたすべてのものがスペルチェックのためにGoogleに送信されます。

otto-jsの共同設立者兼CTOであるJosh Summittは、ユーザーがフォームに入力するほとんどすべてのことを説明しており、拡張スペルチェック機能を有効にすると、情報がGoogleとMicrosoftに送信されます。

「さまざまなブラウザのデータ漏洩を調査しているうちに、一度有効にすると、GoogleやMicrosoftなどの第三者に機密データを公開する必要がない機能の組み合わせが見つかりました」と、SummitはBeta News、9月20日火曜日から引用しました。

「「パスワードの表示」が有効になっている場合、この機能はパスワードをサードパーティのサーバーに送信することさえあります。「パスワードを表示」をクリックすると、拡張スペルチェッカーはパスワードを送信し、基本的にスペルデータをハイジャックします」と彼は付け加えました。

つまり、生年月日、お支払いの詳細、連絡先情報、ログイン資格情報など、オンラインで入力したデータはすべて Google と Microsoft に返送できます。

Summitによると、心配なのはアクティブ化がどれほど簡単かであり、ほとんどのユーザーはバックグラウンドで何が起こっているのかを実際に認識せずにこの機能をアクティブにします。

サミットはまた、世界最大のウェブサイトのいくつかは、ユーザーがログインまたはフォームに記入するときに、GoogleとMicrosoftの機密性の高いユーザー(ユーザー名、電子メール、パスワードを含む個人を特定できる情報)を送信するためのアクセス権を持っていると説明しました。

この問題は、Office 365、Alibaba Cloud Service、Google Cloud Secret Manager など、多くの主要なウェブサイトやサービスに影響します。LastPassとAWS Secrets Managerも影響を受けることが判明しましたが、これらの企業は現在、軽減策を実装しています。

一方、Bleeping Computerのレポートによると、Chromeを使用して SSA.gov、バンクオブアメリカ、Verizonにユーザー名が送信され、パスワードの表示が有効になっている場合にのみCNNとFacebookにもパスワードが公開されています。

これを防ぐには、ユーザーは拡張スペルチェック機能を一時的に無効にするか、ブラウザから完全に削除します。これは、少なくとも企業の1つがプライバシーポリシーを改訂するまで、ユーザーの個人データを保護する唯一の方法です。