セキュリティ研究者は、Safari の便利な機能により、ユーザーの個人情報が Web サイトに自動的に提供される可能性があることを発見しました。
Safariの自動入力オプションはデフォルトで有効になっており、名前、メールアドレス、住所、電話番号、その他個人のアドレスブックカードに保存されている詳細情報をWebフォームに入力します(これらのオプションはSafari -> 環境設定 -> 自動入力にあります)。名前の最初の数文字、または住所の最初の数字を入力し始めると、Safariが残りの部分を自動的に入力し、フォームをより迅速に入力できるようにします。
InformationWeekの報道によると、WhiteHat Securityの創設者兼CTOであるジェレミア・グロスマン氏は、自身のブログで、悪意のあるハッカーがSafariのオートフィル機能を悪用する方法について解説しました。グロスマン氏は、2008年に「クリックジャッキング」など、他のブラウザセキュリティの脆弱性を発見したことで知られています。研究仲間として頻繁に活動するロバート・ハンセン氏は、この脆弱性の悪用を実際に観察できるよう、無害な概念実証サイトを立ち上げました。(興味があれば、上記のグロスマン氏のブログから概念実証へのリンクを見つけることができます。)
悪意を持って作成されたウェブフォームは、基本的に、各テキスト入力フィールドに文字と数字を繰り返し入力させ、Safariの自動入力機能を作動させます。その後、フォームはハッカーに自動的に送信され、入力された情報はスパマーに販売されたり、その他の方法で悪用されたりする可能性があります。
グロスマン氏は、MacとiOSデバイス、そしてGoogleのChromeブラウザやその他のモバイルデバイスでSafariを動かすオープンソースエンジンであるWebKitの欠陥を原因として挙げています。しかし、ハンセン氏の概念実証サイトは最新バージョンのChromeでは動作しないようです。これは、ChromeがSafariのようにAppleのアドレスブックと連携して自動入力できないことが原因かもしれません。また、モバイル版Safariでは、自動入力ボタンを意識的にタップする必要があるようです。
幸いなことに、Safariの自動入力機能を悪用する攻撃から身を守る簡単な方法があります。自動入力の設定パネルで「アドレスブックの情報を使用」オプションを無効にするだけです。
グロスマン氏はブログ記事の中で、Safariの自動入力機能のこの悪用について6月17日にAppleに警告したと述べています。今のところ、自動返信しか届いていません。これは主に利便性のために設計された機能を悪用したものであり、厳密にはバグではないように思われますが、それでもAppleはSafariの自動入力機能を調整してこの動作を防ぐ必要があるかもしれません。
