ブラウザの自動入力機能があなたの個人情報を漏洩させるのを防ぐ方法
もしあなたがほとんどの人と同じなら、面倒なウェブフォームを完成させるためにブラウザの自動入力機能に頼っています。ブラウザの「自動入力」は、以前にこれらのフィールドに入力した情報に基づいて、ウェブフォームのフィールドにあなたの情報を自動的に入力します。
悪いニュースは、悪意のある第三者やブラックハットハッカーがこの自動入力機能を利用して、あなたの敏感な情報を渡すように騙すことができるということです。フィンランドのホワイトハットハッカーでありウェブ開発者でもあるヴィルヤミ・クオスマネンは、彼のGitHubデモで、攻撃者がプラグイン、パスワードマネージャー(およびそのようなツール)、ブラウザの自動入力機能をハイジャックできることを示しました。
クオスマネンのずっと前に、ElevenPathsのセキュリティアナリスト、リカルド・マルティン・ロドリゲスは、2013年にこのブラウザの自動入力の脆弱性を発見しました。これまでのところ、Googleはこの脆弱性に対する解決策を見つけていません。
あなたの敏感な情報を知らずに漏洩させる
クオスマネンの概念実証デモウェブサイトでは、名前とメールアドレスの2つのフィールドだけで構成されたシンプルなウェブフォームが表示されます。しかし、このフォームには多くの隠れた(つまり、視界に入らない)フィールドがあります。これらの隠れたフィールドには、住所、組織、電話番号、都市、郵便番号、国が含まれています。
上記のようなフォームでは、名前とメールのフィールドしか表示されませんが、自動入力機能は残りのフィールドにあなたの詳細を自動的に入力します。上記のようなフィッシングウェブフォームは、送信ボタンをクリックしたときにあなたが認識している以上の情報を収集します。
ブラウザと拡張機能の自動入力機能をテストするには、クオスマネンが設定した概念実証サイトを使用できます。フォームを送信すると、私が提供した以上の情報を取得したことに気付きました。このテストには最新のMozilla Firefoxを使用し、どれだけの情報が漏れたかに驚きました。
Chromeでは、金融データの自動入力がHTTPSのないウェブサイトに対して警告を引き起こします。私の経験では、クオスマネンのフォームは、私がフォームを記入した日付、住所、クレジットカード番号、CVV、クレジットカードの有効期限、私の都市、国、メール、名前、組織、電話、郵便番号を収集しようとしました。
そのフォームは、私のブラウザの種類、現在のIPアドレスなどのメタデータを収集しようとしました。以下のスクリーンショットをご覧ください。
Apple Safari、Google Chrome、Operaはすべて、クオスマネンの攻撃テスト中に脆弱でした。
2017年1月、Mozillaの主なセキュリティエンジニアであるダニエル・ヴェディッツは、Firefoxブラウザはプログラム的にテキストボックスを自動入力するように騙されることはないと言いました。Firefoxユーザーはブラウザの自動入力攻撃から安全です(少なくとも今のところ)、ブラウザにはマルチボックス自動入力システムがないためです。MozillaのFirefoxブラウザは、ユーザーがウェブフォームの各テキストボックスに対して事前入力されたデータを手動で選択することを義務付けています。
結論:ブラウザの自動入力機能をオフにする
フィッシング攻撃に対する最も簡単な予防策は、ブラウザ、拡張機能の設定、またはパスワードマネージャーでフォームの自動入力機能をオフにすることです。あなたのブラウザの自動入力機能は、デフォルトでオンになっています。
Chromeで自動入力をオフにするには:
ブラウザの「設定」に移動します。
ページの下部にある「詳細設定」を見つけます。
「パスワードとフォーム」エリアで「自動入力を有効にする」のチェックを外します。
Operaで自動入力をオフにするには:
設定に移動します。
「自動入力」に行き、それをオフにします。
Safariで自動入力をオフにするには:
「環境設定」に行きます。
「自動入力」をクリックしてオフにします。
この投稿が役に立ったと思ったら、下の「はい」をクリックしてください。あなたのコメントもお待ちしています。
