スラッシュレーン
· 1分で読めます
ジェレミア・グロスマン氏は今週のブログで、Safari バージョン4および5で「ウェブフォームの自動入力」機能を有効にしているユーザーが悪意のあるコードに対して脆弱であることを明らかにしました。この自動入力機能は、Appleのウェブブラウザではデフォルトで有効になっています。
この機能は、「名前」「会社名」「市区町村」「都道府県」「メールアドレス」など、具体的な一般的な名前を含むオンラインテキストフォームに自動で入力します。これらの情報は、オペレーティングシステムのアドレス帳に含まれるユーザーの個人情報から自動的に取得されます。つまり、ユーザーがSafariブラウザに入力しなくても、情報を取得できるということです。
「悪意のあるウェブサイトがSafariからアドレス帳カードのデータを密かに抽出するために必要なのは、前述の名前のテキストフィールドを動的に(おそらく目に見えない形で)作成し、JavaScriptを使ってAからZまでのキー入力イベントをシミュレートすることだけです」とグロスマン氏は記している。「データが入力されると、つまりオートフィルされると、そのデータにアクセスして攻撃者に送信することができます。」
グロスマン氏はまた、個人情報の取得に「わずか数秒」しかかからないことを示す概念実証も作成した。グロスマン氏によると、このデータはスパムメールの送信やフィッシング攻撃に利用される可能性があるという。
「幸いなことに、電話番号や住所など、数字で始まるオートフィルデータは、何らかの理由でテキストフィールドに入力されなかったため、取得できませんでした」と彼は述べた。「しかし、このような攻撃は、ルートキットのペイロードを配信するために設計されたエクスプロイトコードではないため、おそらく誰にも気づかれない広告ネットワークを使って、容易かつ安価に大規模に拡散される可能性があります。」
Appleのウェブブラウザの最新バージョンであるSafari 5は6月にリリースされました。拡張機能が追加され、デスクトップソフトウェアのHTML5サポートが拡張されました。
