ブラウザの自動入力機能悪用し意図しない個人情報を送信させるデモ

2017年1月12日 21:25

 Webブラウザの自動入力機能を悪用して個人情報を盗む手法が公表された。実証コードも公開されているBleeping ComputerGIGAZINESlashdot)。

 Webブラウザの自動入力機能は、住所やクレジットカード情報などをあらかじめWebブラウザに登録しておくことで、Webページ上のフォームに自動的にそれらを入力するというもの。今回公表された実証コードでは、画面上に見えないようにフォームを配置し、さらにJavaScriptを使ってフォームに値が入力されたらそれらを自動的に処理するようなコードを組み合わせるというもの。

 公開されているデモでは「Name」および「Email」入力フォームのみが表示されており、送信されるのは名前およびメールアドレスだけのように見えるが、電話番号や住所などを入力するフォームも見えないように配置されており、Webブラウザにこれらの情報が登録されており、さらに自動入力機能を利用した場合はこれらの情報も自動的に入力されて送信されてしまう。

 ただし、Safariでは自動入力の際に入力するデータをユーザーに確認する仕組みになっており、また、Firefoxではユーザーが自動入力するフォームを指定する必要がある。そのため、これらブラウザでは悪用は難しいようだ。

関連記事

最新記事