Safari AutoFill のセキュリティ問題が再び浮上
遡ること7月、セキュリティ研究者のジェレミア・グロスマン氏は、悪意のある者がSafariの自動入力機能を利用してユーザーのアドレス帳エントリから個人情報を抽出できる可能性がある セキュリティ問題 を明らかにした。当時、グロスマン氏は、アップルへの報告が1カ月近くも事実上認められなかったが、そのわずか6日後にアップルは問題に対処するために Safari 5.0.1と4.1.1 をリリースしたと報告した。
Grossman による新しい AutoFill エクスプロイトの概念実証テストのスクリーンショット
Grossman 氏は 現在、別の同様の AutoFill セキュリティ問題を発見したと報告しています。 これは、以前のエクスプロイトのように完全に自動化されるのではなく、悪意のある当事者がユーザーを騙して 1 組のキーストロークを提供させるよう要求するもので、ユーザーの個人情報をさらに効率的に取得する手段を提供します。得られるもの。
攻撃を実行するには、エンドユーザーのほんの少しの策略が必要です。正確にはボタンを 2 回押します。悪意のある Web サイトは、被害者の出身国 (つまり、IP アドレス) を検出します。ここでは目的のために「米国」を想定します。攻撃者は目に見えない状態 (CSS 透過性) で前述のフォームを設定し、キーストロークのフォーカスを強制的に国要素に設定します。画面右側のビデオでこれがどのように行われるかに注目してください。これはデモンストレーションの目的でのみ表示されます。次に、攻撃者は被害者に「U」(「US」の最初の文字)を入力してから「TAB」を押すよう誘導します。そしてバム!それでおしまい!データが盗まれました。
Grossman 氏は、8 月 10 日に電子メールで新たに発見されたエクスプロイトを Apple に通知し、その数日後にも再度通知したと述べています。その 1 週間後、彼は Apple 製品のセキュリティ エンジニアから電話を受け、6 月の最初の脆弱性報告がどのように扱われたかについて「生産的な会話」をしましたが、会話の終わりにそのエンジニアが次のように話していたことを知りました。グロスマンが 1 週間半前に 2 つ目の問題を報告していたとは思いもしませんでした。
以前のエクスプロイトと同様に、ユーザーは、アドレス帳カードの情報をフォームに自動的に入力する自動入力オプションをオフにするだけで、自分自身を守ることができます。ただし、グロスマン氏は、Apple がオートフィル機能の利便性を維持しながらこの脆弱性にどのように対処する予定であるかは不明であると述べています。 Apple の以前のパッチでは、Safari が JavaScript でシミュレートされた自動化されたキーストロークと実際のキーストロークを自動的に区別できるようにして、元のエクスプロイトを阻止できましたが、新しいエクスプロイトは、ユーザーをだまして実際に必要なキーストロークを入力させることに依存しており、これは対処がより難しい可能性があります。 。
