便利すぎると、それだけ弊害も大きいんですよね…。

ChromeやSafariといったウェブブラウザは、実はごく簡単なトリックであなたのクレジットカード情報をハッカーに渡してしまうかもしれないのです。しかも、それをあなたに一切気づかせることなく。

Futuriceに所属するハッカーViljami Kuosmanen氏は、先日、悪質なウェブサイトが情報を盗める簡単なハックをGitHubとTwitterで公開しました。The Guardianが報じています。

ChromeやSafariなどのブラウザは、あなたの電話番号、住所、クレジットカード番号などの情報をテキストボックスに自動で入力してくれる機能があります。通常、ブラウザはサイトが求める情報を自分で判断し、それ以外は入力しません。しかし彼によれば、ハッカーは任意のテキストボックスを隠すことができるそうです。つまり、ユーザーに気づかれずに情報を入力してしまうのです。悪質なサイトはいくらでも正規のサイトに見せかけることができるため、これは非常に危険度の高いハックであることがわかります。

以下が実例です。



「これだからフォームへの自動入力は嫌いなんだ」


上の例では、名前とメールアドレスしか入力していないのに、もっと多くの情報が密かに入力されていたのがわかります。

ユーザーからは自分の見えるボックスにしか情報を入力していないように見えますが、Chromeは隠されたボックスにもっと大切な情報を入力してしまうかもしれないのです。当然サイトはボックスが見えないようにデザインされているので、情報を送ってしまっても気づく可能性は低く、クレジットカード情報などを送っては大きな問題になります。

Kuosmanen氏のツイートに対し、他のユーザーはブラウザ側の対策を提案しています。例えば、送信前にどんな情報を送るのかを通知する機能や、可視状態のボックスのみ自動入力を行なうようにする、というものです。Googleは米Gizmodoに対し、「この問題を認識しており、現在対策中である」とコメントしました。当面は、自動入力機能をオフにするのが一番簡単な対策になりそうですね。


IoTプロダクトはこんなに簡単にハッキングされる


image : Freedom Master/Shutterstock.com
source: The Guardian, GitHub, Twitter(1, 2, 3)

Sidney Fussell - Gizmodo US[原文]
(scheme_a)