Webブラウザの自動入力機能を悪用して意図しない個人情報を送信させるデモ 16
ストーリー by hylom
シンプルな手口 部門より
シンプルな手口 部門より
Webブラウザの自動入力機能を悪用して個人情報を盗む手法が公表された。実証コードも公開されている(Bleeping Computer、GIGAZINE、Slashdot)。
Webブラウザの自動入力機能は、住所やクレジットカード情報などをあらかじめWebブラウザに登録しておくことで、Webページ上のフォームに自動的にそれらを入力するというもの。今回公表された実証コードでは、画面上に見えないようにフォームを配置し、さらにJavaScriptを使ってフォームに値が入力されたらそれらを自動的に処理するようなコードを組み合わせるというもの。
公開されているデモでは「Name」および「Email」入力フォームのみが表示されており、送信されるのは名前およびメールアドレスだけのように見えるが、電話番号や住所などを入力するフォームも見えないように配置されており、Webブラウザにこれらの情報が登録されており、さらに自動入力機能を利用した場合はこれらの情報も自動的に入力されて送信されてしまう。
ただし、Safariでは自動入力の際に入力するデータをユーザーに確認する仕組みになっており、また、Firefoxではユーザーが自動入力するフォームを指定する必要がある。そのため、これらブラウザでは悪用は難しいようだ。
see also (スコア:2, 参考になる)
暮らしに役立つITコラム ChromeやSafariの自動入力機能が、なぜ「悪いデザイン」なのか
https://gist.github.com/mala/a53e3f8a0c793a5c7bef2215dd951879 [github.com]
Re: (スコア:0)
以前、どこのサイトだったか忘れたが、クレジットカード情報入力の欄が
autocomplete="off" になっておらず、その後全然関係ないサイトで
クレジットカードじゃない情報を入力しようとしたときにクレジットカード番号が
表示されたことがあった。
クレジットカード会社は、Web サイトの造りについても、一定の要件を
満たすように指導すべきじゃないのかと思うんだけど、やってないの?
autocomplete="off" があっても無視される場合がある (スコア:2)
クレジットカード番号の入力欄に autocomplete="off" が指定されていないサイトも見かけますが、最近のブラウザでは autocomplete="off" があっても効かないことがあります。
フォームのオートコンプリートを無効にするには - Web セキュリティ | MDN [mozilla.org] には、
と書かれています。
WHATWG の HTML Living Standard [whatwg.org] によると、autocomplete には "postal-code" などと自動的に代入される文字列の種別を指定するようなので、そこにダミーの値を入れることで比較的新しいブラウザだと、自動代入が無効になるのでしょう。
逆に古いブラウザだと、"on" や "off" 以外は無効と判断されて無視されるかもしれないので、form要素の方には autocomplete="off" を指定しておいて、input要素の方に autocomplete="dummy-jA4f-FJvG-DufF-rGmA" などのダミーのランダムな値を指定しておくと良いかもしれません。他のサイトで同じ値が設定されるとブラウザによってはそっちに自動フィルされるかもしれないので(未確認)、毎回違う値を自動生成した方が安全かも。
みたいな感じだと、自動フィルされにくいと思います(dummy-jA4f-FJvG-DufF-rGmA の部分は毎回変わるランダムな値)。
autocomplete属性は W3C のWeb標準に無いし(まぁW3C自体がオワコンですが)、WHATWG のWeb標準仕様は更新が頻繁で追従が困難なので、オートフィルについてはWebサイト製作者がどうにかする問題ではなく、ブラウザの製作者かその利用者がどうにかするべきだと思います。
ちなみに、WHATWG のサンプル [whatwg.org] には、
とあり、ブラウザのオートフィル用にクレジットカード番号であることを明示的に指定してあげているようです。現実にこれがどう扱われるかは、ブラウザの実装次第ですね。
Re: (スコア:0)
これ、ほんとどうにかしてほしい。
あえて不便にしたいケースで非常に困っている。こんなところでトリック使いたくない。
Re:autocomplete="off" があっても無視される場合がある (スコア:1)
ブラウザという他人の都合に振り回されないようにするため、自社用アプリを作るのです。
(だれもダウンロードしてくれない、と泣きが入ること請け合いだけど)
chromeのセキュリティがちょろいって事か (スコア:2, すばらしい洞察)
他はそういう悪意ある手法に対して既に対抗できる設計になってるが、chromeはその辺考慮が浅くてザルだったって事じゃん。
Googleしっかりしろよ。
Re: (スコア:0)
むしろGoogleが個人情報を収集する目的で穴を開けてたのかと思った
Re: (スコア:0)
ブラウザ握ってんだから誰でも覗ける穴なんて作らなくてもやろうと思えば取り放題でしょうに。
Re: (スコア:0)
部門名にある通り結構シンプルな手口に見える。
これをChromeの開発者が予想できなかったとはちょっと思えないくらいに。
あの技術力のGoogleのだから、Chromeは比較的安全なブラウザと思い込んでる所があるが、認識を改めたほうがいいのかも。
Re: (スコア:0)
標準規格にある機能ならともかく、独自機能ですからねえ。IEには該当機能がないので問題にならない。
いつものIEと立場が逆転しましたね。
タイトルおかしいだろ (スコア:0)
Chromeの独自機能が引き起こした製品固有の脆弱性なんだから、そう書くべきだ。
「Webブラウザの自動入力機能を悪用して」って、なんだこのタイトル。
これがMicrosoft製品なら必ずタイトルにつけて煽るくせに。
Re: (スコア:0)
アンチAppleがよく出現するのはお決まりだけど、
最近何でもかんでもMicrosoftに絡めて炎上させようとしてるこの人はなんなんだろう。
MS擁護したいのか着火したいのか。
Re: (スコア:0)
Chromeに都合の悪いことを書くときは名前を出さないで「Webブラウザの」とかぼかす不思議
オートコンプリートなんて使うなよ (スコア:0)
最近はそういう余計な機能をいちいち殺してからでなきゃ
アプリケーションを使い始められなくて不便でしょうがない。
...とおもったら、わざわざブラウザにカード番号を登録するのかよ。
そんなの使う奴が悪いわ。
Re: (スコア:0)
あからじめいう手も勝手に覚えるんやで