ottoの研究チームは9月16日(米国時間)、「Chrome & Edge Enhanced Spellcheck Features Expose PII, Even Your Passwords」において、Google ChromeやMicrosoft Edgeのスペルチェック機能を有効にしている場合に、パスワードや個人情報などの機密データが漏洩する可能性があるという問題を明らかにした。
同チームのレポートによると、Chromeにおいて「拡張スペルチェック」を有効にしている場合、および、EdgeにおいてMicrosoftエディターを利用している場合、Webサイトのログインページなどで「パスワードを表示する」のチェックを入れた際にGoogleやMicrosoftに入力済みのパスワードが送信されるリスクがあるという。
この問題はGoogleやMicrosoftが意図的に仕組んだものではなく、スペルチェックの精度を上げるためにクラウド上に入力テキストを送信していることが裏目に出た結果と言える。通常、パスワード入力フィールドに入力されたテキストは送信されることはない。しかし、多くのWebサイトがユーザビリティのために一時的にパスワードを表示する「パスワード表示」ボタンを提供している。このボタンをクリックしてパスワードを表示した瞬間に、入力テキストはスペルチェックの対象となってクラウドに送信されてしまう。
全文はこちら
https://news.mynavi.jp/techplus/article/20220921-2459897/