ブラウザの自動入力機能悪用し意図しない個人情報を送信させるデモ

　Webブラウザの自動入力機能を悪用して個人情報を盗む手法が公表された。実証コードも公開されている（Bleeping Computer、GIGAZINE、Slashdot）。

　Webブラウザの自動入力機能は、住所やクレジットカード情報などをあらかじめWebブラウザに登録しておくことで、Webページ上のフォームに自動的にそれらを入力するというもの。今回公表された実証コードでは、画面上に見えないようにフォームを配置し、さらにJavaScriptを使ってフォームに値が入力されたらそれらを自動的に処理するようなコードを組み合わせるというもの。

　公開されているデモでは「Name」および「Email」入力フォームのみが表示されており、送信されるのは名前およびメールアドレスだけのように見えるが、電話番号や住所などを入力するフォームも見えないように配置されており、Webブラウザにこれらの情報が登録されており、さらに自動入力機能を利用した場合はこれらの情報も自動的に入力されて送信されてしまう。

　ただし、Safariでは自動入力の際に入力するデータをユーザーに確認する仕組みになっており、また、Firefoxではユーザーが自動入力するフォームを指定する必要がある。そのため、これらブラウザでは悪用は難しいようだ。

　スラドのコメントを読む | YROセクション | インターネット | プライバシ

　関連ストーリー：
米CNBCがセキュリティ記事を悪用してパスワードを収集・共有していたことが明らかに 2016年04月05日
Microsoft Edge、InPrivateモードで閲覧したWebサイトのURLが履歴に表示されるバグ？ 2016年02月16日
パスワード管理サービスを提供する米LastPass、攻撃を受けて暗号化されたマスターパスワードなどを流出 2015年06月17日
Google検索のオートコンプリート機能、違法な薬物入手につながると非難される 2013年06月25日