文法検査ソフトウェアGrammarlyのChromeとFirefoxのブラウザ拡張で発見された重大な脆弱性は、個人の文書や記録を含む2200万人のユーザーのアカウントをハッカー脅威に晒してしまっていました。
文法チェックソフトウェアハッキング
2月2日にこの脆弱性を発見したGoogle Project Zeroの研究者Tavis Ormandyによると、GrammarlyのChromeとFirefoxの拡張では、ハッカーが、わずか4行のJavaScriptコードを使い、Grammarly上の個人情報を盗み取っていたことが発覚しました。
詳しくは、Grammarlyユーザーが訪問したウェブサイトで、ユーザーのアカウントにログインした際に、すべての「文書、履歴、ログ、およびその他すべてのデータ」にアクセスできる認証トークンを盗まれていた可能性があります。
Ormandy氏の脆弱性レポートによると、重大なバグだとしており、深刻な情報流出な発生しているといいます。
Ormandy氏は、PoC(proof-of-concept)エクスプロイトも提供しています。このエクスプロイトでは、わずか4行のコードでGrammarlyユーザーのアクセストークンを盗める、深刻なバグを簡単に引き起こす方法を説明しています。
この重大なバグは先週の金曜日に発見され、月曜日の早朝に、Grammarlyチームによって修正対応されました。
その修正対応さたセキュリティ更新プログラムは、ChromeとFirefoxの両方のブラウザ拡張機能で利用できるようになりました。Grammarlyユーザーは自動的に更新されるはずですが、念のためアップデートされているかの確認と、されていない場合は、アップデートをお勧めします。
Grammarlyの広報担当者は、同社にはこの脆弱性によってユーザーが侵害されているという証拠はないと電子メールで語っています。
「GoogleのProject Zeroセキュリティ研究者であるTavis Ormandy氏が発見したセキュリティバグは文法的に解決されましたが、現時点では、この問題でユーザー情報が漏洩したという証拠はありません。」
と述べています。
この問題は、Grammarly Keyboard、Grammarly Microsoft Officeアドイン、または使用中にWebサイトに入力されたテキストには影響しませんでした。 Grammarlyブラウザの拡張機能の問題になります。このバグは修正されており、アップデートにより解決できるようです。