サイトアイコン TechWave(テックウェーブ)

Safariのフォーム自動入力で所有者情報漏洩の深刻な危険 【増田(@maskin)真樹】

米セキュリティ企業WhiteHatのファウンダー・CTO Jeremiah Grossman氏は現地時間の7月21日、世界シェア4%のウェブブラウザであるアップルの「Safari(v4&v5)」で、[環境設定]→[自動入力]→[自動入力Webフォーム]の「自分のアドレスブックカードの情報を使用」にチェックを入れていると、悪意のあるサイトによって端末使用者の氏名・会社・住所・メールアドレス等が盗まれる可能性があると発表した。この項目はインストール直後に標準で”ON“になっている。

この問題を実証するサイトの場合、日本語で書かれた情報に被害はないものの、メールアドレスが自動で引き出された。


この問題は、[自動入力Webフォーム]の「自分のアドレスブックカードの情報を使用」が有効になっていると、「アドレスブック」に保存されている所有者の情報を参照し、その頭文字が入力された時点でフォームの内容を埋めるという機能が悪用できるというもの。

前述した実証サイトは、個人情報のフォームに対し、アルファベットを自動で入力することで「アドレスブック」内の所有者情報を取得するというもの。このサンプルサイトの場合、日本語で入力された情報は引っかからないが、メールアドレスなどアルファベットで書かれた情報は見事取得に成功した。

サイトのプログラムによっては日本語の情報も取得できる可能性がある。なお、この問題は、「自分のアドレスブックカードの情報を使用」を無効にすれば回避できる。

この問題、フォームに入力した内容を保存し、再入力時に自動で埋めてくれるオートフィル機能と混交しやすいので注意が必要だ。アドレスブックの所有者情報がそのまま入手できるとして、Jeremiah Grossman氏は強く警告している。

I know who your name, where you work, and live (Safari v4 & v5)

from metamix.com

個人情報保護の実務と漏洩防止策のすべて

[POWERD_BY @tweejp.tools]

著者プロフィール:増田(maskin)真樹twitter:maskin

www.metamix.com/

 1990年より執筆およびネットメディアクリエイターとして活動を開始。
 週刊アスキーを初め、日経BP、インプレス、毎日コミュニケーション、ソフトバンク、日経新聞など多数のIT関連雑誌で活躍。
 独立系R&D企業のマーケティング部責任者の後、シリコンバレーで証券情報サービスベンチャーの立ち上げに参画。帰国後、ネットエイジでコンテンツディレクターとして複数のスタートアップに関与。ニフティやソニーなどブログ&SNS国内展開に広く関与。
 現在、複数のメディア系ベンチャー企業にアドバイザー・開発ディレクターとして関与。大手携帯キャリア公式ニュースポータルサイト編集デスク。書き手として、また実業家として長年IT業界に関わる希有な存在。

 6月17日 翔泳社より「Twitter情報収集術」を発売。

詳しいプロフィールはこちら

お仕事下さい m(_ _)m

モバイルバージョンを終了