例えば職場でユーザーが席を外している間に他人が操作するなど、PCに物理的にアクセスできれば誰でもChromeに保存されたパスワードをのぞき見ることができてしまう。
米GoogleのWebブラウザ「Chrome」に保存されたパスワードは、設定ページを通じて誰でも簡単に平文で見ることができてしまう――。ソフトウェア開発者が自身のブログでそんな実態を報告し、Googleのパスワードセキュリティ対策の甘さを指摘している。
ソフトウェア開発者のエリオット・ケンバー氏は8月6日、「Chromeのあり得ないパスワードセキュリティ戦略」というタイトルのブログでこの実態を紹介した。
同氏はWebブラウザをAppleのSafariからChromeに切り替えて使っている過程で、Chromeの設定ページから保存したパスワードの一覧を表示すると、この画面にパスワードの「表示」ボタンが現れることを発見した。このボタンをクリックすると、パスワードが平文で表示される。
これについてケンバー氏は、「Googleを使っている大多数の一般ユーザーはこのような仕組みがあるとは知らず、これほど簡単に自分のパスワードを見られることは期待していない」と指摘。「ユーザーのパスワードを平文で表示して、(この情報にアクセスするためのマスター)パスワードさえ要求しないのがGoogleのセキュリティだ」と批判している。
セキュリティ専門家のグレアム・クルーリー氏もこの問題を確認し、例えば職場でユーザーが席を外している間に他人が操作するなど、コンピュータに物理的にアクセスできれば誰でもChromeに保存されたパスワードをのぞき見ることができてしまうと指摘した。「Chromeブラウザはユーザーにパスワード保存を促しておきながら、その情報を強力なマスターパスワードで守るオプションを提供していない」とも述べている。
一方、Google Chromeのセキュリティ担当者は、ネット上のフォーラムでこの問題を報告したケンバー氏に対し、「私たちはこの診断に何年も費やしてきた。あなたは私たちがユーザーの安全性を低めていると言いたいのかもしれないが、Chromeのセキュリティに対するわれわれのアプローチはそのようなものではない」と反論している。
Copyright © ITmedia, Inc. All Rights Reserved.