1分で読めます
| macOS
White Hat Securityの創設者兼最高技術責任者であるグロスマン氏は、今年初めにこの脆弱性を発見し、6月17日にAppleに報告したことをブログ記事で発表した。自動生成された確認メール以外、Appleからの返答はなかったものの、グロスマン氏は脆弱性と、その動作を示す概念実証デモ、そしてAppleが修正プログラムをリリースするまでMacユーザー向けに脆弱性を回避できる手順を公開した。
これを行うには、(環境設定 > 自動入力 > Web フォームの自動入力)に移動し、以下のスクリーンショットに示すように、「アドレス帳カードの情報を使用する」フィールドがオンになっている場合はオフにします。
この脆弱性を利用するには、悪意を持って作成されたウェブページをユーザーが開く必要がありますが、そのページを以前に訪問したことがあるかどうかに関係なく機能します。悪用されるのはSafariの便利な機能で、設定にチェックを入れると、ブラウザが住所情報、メールアドレス、名前、電話番号を自動的に入力してくれます。
問題は、グロスマン氏がJavaScriptを使ってこの機能を利用し、フォームの各フィールドに文字を一つずつ自動的に入力し、最初の文字が正しいと判定された時点でその結果の自動入力情報を取得する方法を発見したことです。これにより、ユーザーの名前、役職、会社名、居住地、メールアドレスなどを取得できます。
彼が開発した概念実証では、数字で始まるフィールドは機能しないため、電話番号や住所は取得できなかったとのことです。しかし、1920年代に生きていて、電話番号が「Clark」や「Klondike」で始まっている場合は、その点でも脆弱である可能性があります。
Safariのこの機能はデフォルトでオンになっています。多くのフォームに入力する人は、おそらく何度も頻繁に使用しているはずです。もしそうなら、この機能をオフにしてしまうと、使い物にならなくなるでしょう。
グロスマン氏は、概念実証ページを危険にさらしたくない人のために、このエクスプロイトが実際に動作する様子を映した動画も公開しました。動画は彼のブログ記事でご覧いただけます。
