セキュリティに熱心な Jeremiah Grossman 氏が、自動入力に使用するために Web ブラウザーに保存されている情報を盗む可能性のある興味深い攻撃について詳しく説明します。
これらのフィールドは、ユーザーのローカルオペレーティングシステムのアドレス帳にある個人記録のデータを使用して自動入力されます。繰り返しになりますが、この機能は、ユーザーがどのウェブサイトでもこのデータを入力していない場合でも機能します。また、この動作は、フォームに入力された後にウェブブラウザが記憶する通常のオートコンプリートデータと混同しないでください。
悪意のあるウェブサイトがSafariからアドレス帳カードのデータを密かに抽出するために必要なことは、前述の名前を持つフォームテキストフィールドを動的に(おそらくは目に見えない形で)作成し、JavaScriptを使ってAからZまでのキー入力イベントをシミュレートすることだけです。データが自動入力されると、つまりオートフィルされると、そのデータにアクセスして攻撃者に送信できます。
9 to 5 Macが報じているように、影響を受けるブラウザはSafariだけではありません。自動入力機能を備えたブラウザはすべてこの脆弱性の影響を受けます。ただし、SafariとInternet Explorerは、この種の攻撃に対してより危険にさらされる可能性があると報告されています。The Registerが解説しています。
最も深刻な脆弱性の一つは、AppleのSafariとMicrosoftのIEの以前のバージョンに存在する脆弱性で、ユーザーが罠の仕掛けられたウェブサイトにアクセスすると、名前、メールアドレス、その他の機密情報が漏洩してしまう可能性があります。この攻撃は、ウェブサイトによく入力されるテキストを自動入力するブラウザのオートコンプリート機能を悪用します。「名」「姓」「メールアドレス」「クレジットカード番号」といったタイトルの入力欄を持つウェブページを作成し、ユーザーが各入力欄に様々な文字、数字、またはキー入力を行うように見せかけるJavaScriptを追加します。
オートフィルは役に立たず、面倒な機能だと思うので、いつも無効にしていますが、今では自分の習慣が悪意のあるユーザーから自分を守ってくれていると思うと、特に安心しています。特に警戒心が強い方は、Safariのこれらのチェックボックスをすべて無効にすることをお勧めします。他のウェブブラウザでも同様です。
[ 9 to 5 Mac経由]
追加コンテンツと特典にアクセスする
Club MacStories は 2015 年に設立され、ほぼ 10 年間にわたって毎週独占コンテンツを提供してきました。
毎週、毎月の電子メール ニュースレターから始まったものが、すべての MacStories ファン向けに設計されたメンバーシップ ファミリーに成長しました。
詳細については、こちらおよびクラブの FAQ をご覧ください。
Club MacStories : アプリ、ヒント、自動化ワークフロー、長文執筆、MacStories Unwind ポッドキャストへの早期アクセス、定期的な景品など、盛りだくさんの情報を満載した、電子メールと Web 経由の週刊および月刊ニュースレター。
Club MacStories+ : Club MacStories が提供するすべての機能に加え、アクティブな Discord コミュニティ、クラブの過去のカタログ全体を閲覧するための高度な検索機能とカスタム RSS 機能、ボーナス コラム、多数のアプリ割引などが含まれます。
Club Premier : 上記のすべてに加え、早期に、広告なしで、高ビットレートのオーディオで配信される当社の主力ポッドキャストの拡張バージョンである AppStories+ が含まれます。
元MacStories寄稿者。