楽しくiPhoneライフ!SBAPP

Apple製品全般の最新情報やアプリのレビューを毎日お届け!

【iPhone/Mac】Safariの「連絡先の自動入力」に個人情報を盗まれる危険性が見つかる

safari-auto-input-20160113 (1)
スポンサードリンク

イギリスの大手一般新聞「The Guardian」が、ChromeやSafariなどのウェブブラウザにおいて、ウェブフォームの入力を自動で済ませることが出来る「連絡先の自動入力機能」を使用してしまうと、フォームには入力していない個人情報(氏名や住所、電話番号など)を盗まれる危険性があると報じています。

これはiPhone(iOS)やMac(macOS)においても例外では無く、いずれも標準搭載しているブラウザアプリ「Safari」で同様の問題を確認できました。

連絡先の「自分の情報」の入力内容が抜き取られる可能性

iPhoneの標準アプリである連絡先には、自分の情報をデバイスと結びつけるオプション「自分の情報」が用意されています。自分の情報として紐付けたデータは、Safariでウェブフォームに入力をする際に「連絡先を自動入力」をタップすることで、ウェブフォームのボックスに適した内容を自動入力することが出来ます。

5_safari-auto-input-20170113 (1)

今回は上記の「自分の情報に基づいた連絡先の自動入力」が問題として指摘されており、例えば自分の連絡先として「氏名」「住所」「電話番号」「メールアドレス」の4つのデータを設定している状態で、Safariで「氏名」「メールアドレス」を求めるウェブフォームを開き、連絡先の自動入力を行ってしまうと、本来必要である「氏名」と「メールアドレス」に加えて、自分の連絡先として設定しているその他の情報(電話番号や住所など)をバックグラウンドで送信しているとのことです。

実際にどういったデータの受け渡しが行われる可能性があるのか

同問題を指摘したViljami Kuosmanen氏は、悪意のあるウェブフォームを利用した際に、どういったデータの受け渡しが行われるのか確認することができるデモサイトを公開しています。

実際にデモサイトを試してみたところ、次のようなデータの受け渡しが確認できました。なおデモのウェブフォームでは「氏名」と「メールアドレス」のみ入力ボックスが用意されており、その他情報は一切入力できません。

“address”: “\u4e2d\u592e\u533a”,
“cc_cvv”: “”,
“cc_month”: “01”,
“cc_number”: “”,
“cc_year”: “2017”,
“city”: “\u672d\u5e4c\u5e02”,
“country”: “”,
“email”: “dummy@sbapp.net”,
“name”: “\u30a8\u30b9\u30d3\u30fc\u30a2\u30c3\u30d7\u308a\u3087\u3046”,
“organization”: “”,
“phone”: “1237894565”,
“postal”: “064-0918”

..header部が続きますが省略。

上記のユニコードで出力されている値をUnicode Escape Sequenceなどのサービスで日本語に変換すると、次のようなデータが送信されていることがわかります。

“住所(連絡先情報の”以降の住所/1段目”)”: “中央区”,
“クレジットカードのセキュリティ番号”: “”,
“クレジットカードの月”: “01”,
“クレジットカードの番号”: “”,
“クレジットカードの年”: “2017”,
“住所(都/市区町村)”: “札幌市”,
“国”: “”,
“Eメール”: “dummy@sbapp.net”,
“名前”: “エスビーアップりょう”,
“組織(会社)”: “”,
“電話番号”: “1237894565”,
“郵便番号”: “064-0918”

実際の自分の情報と見比べてみると、十分に個人を特定できるレベルの情報が抜き取られていることがわかります。
※ iOSの場合は連絡先情報にクレジットカード情報を紐付けることは出来ない為か、クレジットカード情報については”現在の年月”が値として返されているようです。

4_safari-auto-input-20170113_up (1)

対処方法は「連絡先の自動入力」機能をオフにすること

執筆時点の対処方法として連絡先の自動入力機能の使用を中止する他ありません。画面に表示される”連絡先を自動入力”を押下しなければ良いのですが、万が一の誤操作を防ぐのであれば、次の設定を変更することで連絡先の自動入力機能をオフにしておくと安心です。

iPhoneの場合は「設定」→「Safari」→「自動入力」→「連絡先の情報を使用」をオフにしてください。

01_safari-auto-input-20170113_up_up (1)

Macの場合はSafariの「環境設定」をクリック。

2_safari-auto-input-20170113_up

自動入力タブの「連絡先の情報を使用」をオフにしてください。

3_safari-auto-input-20170113_up

信頼できないウェブフォームで「連絡先の自動入力」を使用するのは控えるようにした方が良さそうです。

参考:Browser autofill used to steal personal details in new phishing attack:The Guardian via ChromeやSafariの自動入力でクレジットカードなどの個人情報が盗まれる危険性:やじうまPC Watch

コメント0件

コメントはこちら

*
*
* (公開されません)

Return Top