ブラウザの自動入力機能により、個人情報がハッカーに漏洩する可能性

ほとんどの人と同じように、私もWebフォーム、特にスマホで個人情報の入力がとても面倒だと感じています。

このプロセス全体を高速化するため、Google Chromeやその他の主要ブラウザでは、以前に同様のフィールドに入力したデータに基づいてWebフォームを自動的に埋め込む「自動入力」機能が用意されています。

ただし、攻撃者がこの自動入力機能を利用して、ハッカーや悪意のある第三者に個人情報を流出させることが可能であることが判明しました。

フィンランドのWeb開発者とホワイトハックのハッカーViljami Kuosmanen氏はGitHubのデモを公開し、攻撃者がパスワードマネージャなどのブラウザ、プラグイン、ツールで提供される自動入力機能をどのように活用できるかを示しています。

このトリックは、2013年にElevenPathsのセキュリティアナリスト、Ricardo Martin Rodriguezによって最初に発見されましたが、Googleが自動入力機能の弱点に対処するために何もしていないようです。

概念実証デモウェブサイトは、名前と電子メールという2つのフィールドだけを持つ簡単なオンラインWebフォームで構成されています。 しかし、目に見えないものは、電話番号、組織、住所、郵便番号、都市、国など、隠された(目に見えない)フィールドがたくさんあります。

ブラウザがあなたの個人情報を知らないうちに自動出力してしまう

Kuosmanenの攻撃は、Google Chrome、Apple Safari、Opera、人気のあるクラウドセキュリティー保護ツールであるLastPassなど、さまざまな主要なブラウザやオートフィルツールに対して機能します。

MozillaのFirefoxユーザーは、現在のところブラウザのようにこの特定の攻撃を心配する必要はありません。マルチボックスの自動入力システムはなく、ユーザーは手動で各ボックスのデータを事前に選択する必要があります。

したがって、Mozillaの主任セキュリティエンジニア、Daniel Veditz氏は、Firefoxのブラウザをプログラム的な方法でテキストボックスに埋め込むことはできないと述べています。

自動入力機能をオフにする方法は次のとおりです

このようなフィッシング攻撃から身を守る最も簡単な方法は、ブラウザ、パスワードマネージャーまたは拡張機能の設定でフォームの自動入力機能を無効にすることです。

自動入力機能は、デフォルトでオンになっています。 Chromeでこの機能を無効にする方法は次のとおりです。

[設定]→一番下にある[詳細設定の表示]の順に進み、[パスワードとフォーム]セクションで[自動入力を有効にする]チェックボックスをオフにして、ワンクリックでウェブフォームに入力する機能を無効にします。

Operaでは、設定→オートフィルに行き、電源をオフにします。

Safariで、環境設定に移動し、オートフィルをクリックしてオフにします。

参照:

http://thehackernews.com/2017/01/browser-autofill-phishing.html

https://www.theguardian.com/technology/2017/jan/10/browser-autofill-used-to-steal-personal-details-in-new-phising-attack-chrome-safari

http://www.forbes.com/sites/leemathews/2017/01/10/this-simple-phishing-attack-tricks-you-into-leaking-browser-autofill-data/#156fbc34482a