브라우저 자동 완성 기능이 개인 정보를 유출하는 것을 막는 방법
대부분의 사람들과 마찬가지로, 귀하는 귀찮은 웹 양식을 작성할 때 브라우저 자동 완성 기능에 의존합니다. 브라우저의 “자동 완성” 기능은 이전에 입력한 정보를 기반으로 웹 양식의 필드를 자동으로 채워줍니다.
나쁜 소식은 악의적인 제3자와 블랙햇 해커가 이 브라우저의 자동 완성 기능을 사용하여 귀하의 민감한 정보를 유출하도록 속일 수 있다는 것입니다. 핀란드의 화이트햇 해커이자 웹 개발자인 Viljami Kuosmanen은 그의 GitHub 데모에서 공격자가 플러그인, 비밀번호 관리자(및 유사한 도구), 브라우저의 자동 완성 기능을 탈취할 수 있음을 보여주었습니다.
Kuosmanen보다 훨씬 이전에, ElevenPaths 보안 분석가인 Ricardo Martin Rodriguez는 2013년에 이 브라우저 자동 완성 취약점을 발견했습니다. 지금까지 Google은 이 취약점에 대한 해결책을 찾지 못했습니다.
귀하의 민감한 정보를 무의식적으로 유출하기
Kuosmanen의 개념 증명 데모 웹사이트에서는 이름과 이메일 주소라는 두 개의 필드로 구성된 간단한 웹 양식을 볼 수 있습니다. 그러나 이 양식에는 주소, 조직, 전화번호, 도시, 우편번호 및 국가와 같은 많은 숨겨진(즉, 보이지 않는) 필드가 포함되어 있습니다.
위와 같은 양식에서는 이름과 이메일 필드만 보이지만, 귀하의 자동 완성 기능은 나머지 필드에 귀하의 세부 정보를 자동으로 채워 넣습니다. 위와 같은 피싱 웹 양식은 귀하가 제출 버튼을 클릭할 때 귀하가 인식하지 못하는 더 많은 정보를 수집했을 것입니다.
브라우저와 확장 프로그램의 자동 완성 기능을 테스트하려면 Kuosmanen이 설정한 개념 증명 사이트를 사용할 수 있습니다. 양식을 제출했을 때, 내가 제공한 것보다 더 많은 정보를 가져갔음을 알게 되었습니다. 이 테스트에는 최신 Mozilla Firefox를 사용했으며, 내가 얼마나 많은 정보를 유출했는지에 놀랐습니다.
Chrome에서는 재정 데이터를 자동 완성할 경우 HTTPS가 없는 웹사이트에 경고가 발생합니다. 제 경험에 따르면 Kuosmanen의 양식은 내가 양식을 작성한 날짜, 내 주소, 내 신용 카드 번호, CVV, 신용 카드 만료 날짜, 내 도시, 국가, 이메일, 이름, 조직, 전화번호 및 우편번호를 수집하려고 했습니다.
이 양식은 내 브라우저 유형, 현재 IP 주소 등에 대한 메타데이터를 수집하려고 시도하기도 했습니다. 아래의 스크린샷을 참조하십시오.
Apple Safari, Google Chrome 및 Opera는 모두 Kuosmanen 공격 테스트 중에 취약했습니다.
2017년 1월, Mozilla의 수석 보안 엔지니어인 Daniel Veditz는 Firefox 브라우저가 프로그래밍 방식으로 텍스트 상자를 자동으로 채우도록 속일 수 없다고 말했습니다. Firefox 사용자는 브라우저에 다중 상자 자동 완성 시스템이 없기 때문에 브라우저 자동 완성 공격으로부터 안전합니다(현재로서는). Mozilla의 Firefox 브라우저는 사용자가 웹 양식의 각 텍스트 상자에 대해 미리 채워진 데이터를 수동으로 선택하도록 의무화합니다.
결론: 브라우저 자동 완성 기능을 끄십시오
피싱 공격에 대한 가장 쉬운 예방 조치는 브라우저, 확장 프로그램 설정 또는 비밀번호 관리자에서 양식 자동 완성 기능을 끄는 것입니다. 기본적으로 귀하의 브라우저 자동 완성 기능은 켜져 있습니다.
Chrome에서 자동 완성을 끄려면:
브라우저의 “설정”으로 이동합니다.
페이지 하단에서 “고급 설정”을 찾습니다.
“비밀번호 및 양식” 영역에서 “자동 완성 사용”의 선택을 해제합니다.
Opera에서 자동 완성을 끄려면:
설정으로 이동합니다.
“자동 완성”으로 가서 끕니다.
Safari에서 자동 완성을 끄려면:
“환경설정”으로 이동합니다.
“자동 완성”을 클릭하여 끕니다.
이 게시물이 유용하다고 생각되면 아래의 “예”를 클릭해 주세요. 귀하의 댓글도 기쁘게 보겠습니다.
