画像: 鋳造所
MacまたはPCでFirefoxをお使いの場合、Appleは便利なブラウザ拡張機能を提供しています。これを使えば、別のアプリを開かなくてもiCloudのパスワードにすぐにアクセスできます。しかし、新たな警告が表示され、次回Firefoxを使う前に再考する必要があるかもしれません。
Hacker Newsの報道によると、セキュリティ研究者のMarek Tóth氏が、ドキュメントオブジェクトモデルの新たな脆弱性を発見しました。この脆弱性により、攻撃者はクリックジャッキングやUIリドレッシングと呼ばれる手法を用いて、ユーザーのクレジットカード情報、個人データ、ログイン認証情報を盗む可能性があります。研究者の説明によると、クリックジャッキングとは「ユーザーがウェブサイト上で、一見無害に見えるボタンのクリックなどの一連の操作を誘導され、実際には攻撃者の指示を意図せず実行してしまう攻撃の一種」を指します。
一部の脆弱性は修正されていますが、1Password、LastPass、iCloudなど、人気のパスワード管理拡張機能が危険にさらされています。iCloud Passwordsについては、研究者はFirefoxが使用しているバージョン3.1.25を特に指摘しています。Chromeはより新しいバージョンである3.1.27を使用していますが、脆弱性は依然として存在しているようです。
アカウントへのアクセスを取得するには、攻撃者は「目に見えないログインフォーム」を備えたポップアップを表示する偽のサイトを作成し、「サイトをクリックしてポップアップを閉じると、パスワードマネージャーによって認証情報が自動入力され、リモートサーバーに送信される」ようにする必要があります。つまり、ユーザーがウィンドウを閉じようとすると、認証情報が自動的に入力されるのです。
今年初め、Appleのパスワードアプリに脆弱性が見つかり、攻撃者が安全でないHTTPトラフィックを介して機密データを傍受できる可能性があることが判明しました。AppleはiOS 18.2でこの脆弱性を修正しました。
トース氏によると、Appleはこの脆弱性の修正に取り組んでいるとのことです。一方、1Passwordは次回のアップデートで追加の保護機能を追加し、ユーザーが「自動入力が行われているかどうかを常に把握できる」ようにすると発表しました。同じくこの脆弱性の影響を受けたBitwardenも、先週、この問題を修正するアップデートをリリースしました。ただし、MacまたはPCでこれらの拡張機能を使用している場合は、使用しているサイトが信頼できるサイトであることを確認してください。
著者: マイケル・サイモン、Macworld編集長
マイケル・サイモンは20年以上にわたりAppleを取材しています。iPodがまだiWalkだった頃からSpymacで噂を取材し始め、Appleがこれまでに製造したほぼ全てのiPhoneを所有しています。妻と息子、そして数え切れないほどのガジェットと共にコネチカット州に住んでいます。
