ハッカーはGrammarly、文法スペルチェッカーのクリティカルな欠陥を利用して、データを盗む

0
8863


文法検査ソフトウェアGrammarlyのChromeとFirefoxのブラウザ拡張で発見された重大な脆弱性は、個人の文書や記録を含む2200万人のユーザーのアカウントをハッカー脅威に晒してしまっていました。



文法チェックソフトウェアハッキング

2月2日にこの脆弱性を発見したGoogle Project Zeroの研究者Tavis Ormandyによると、GrammarlyのChromeとFirefoxの拡張では、ハッカーが、わずか4行のJavaScriptコードを使い、Grammarly上の個人情報を盗み取っていたことが発覚しました。

詳しくは、Grammarlyユーザーが訪問したウェブサイトで、ユーザーのアカウントにログインした際に、すべての「文書、履歴、ログ、およびその他すべてのデータ」にアクセスできる認証トークンを盗まれていた可能性があります。

Ormandy氏の脆弱性レポートによると、重大なバグだとしており、深刻な情報流出な発生しているといいます。

Ormandy氏は、PoC(proof-of-concept)エクスプロイトも提供しています。このエクスプロイトでは、わずか4行のコードでGrammarlyユーザーのアクセストークンを盗める、深刻なバグを簡単に引き起こす方法を説明しています。

この重大なバグは先週の金曜日に発見され、月曜日の早朝に、Grammarlyチームによって修正対応されました。

その修正対応さたセキュリティ更新プログラムは、ChromeとFirefoxの両方のブラウザ拡張機能で利用できるようになりました。Grammarlyユーザーは自動的に更新されるはずですが、念のためアップデートされているかの確認と、されていない場合は、アップデートをお勧めします。

Grammarlyの広報担当者は、同社にはこの脆弱性によってユーザーが侵害されているという証拠はないと電子メールで語っています。

「GoogleのProject Zeroセキュリティ研究者であるTavis Ormandy氏が発見したセキュリティバグは文法的に解決されましたが、現時点では、この問題でユーザー情報が漏洩したという証拠はありません。」
と述べています。

この問題は、Grammarly Keyboard、Grammarly Microsoft Officeアドイン、または使用中にWebサイトに入力されたテキストには影響しませんでした。 Grammarlyブラウザの拡張機能の問題になります。このバグは修正されており、アップデートにより解決できるようです。