Safariブラウザで個人情報流出の恐れ、研究者が警告

Safariブラウザの「AutoFill」機能にセキュリティ上の問題があり、氏名、電子メールアドレスなどの個人情報が流出する恐れがあるという。

[ITmedia]

　セキュリティ研究者が米AppleのSafariブラウザについて、「AutoFill」という機能にセキュリティ上の問題があり、個人情報が流出する恐れがあると警告した。AutoFillを無効にすることを奨励している。

　セキュリティ研究者ジェレミア・グロスマン氏のブログによると、問題のAutoFill機能はSafari v4とv5の標準設定で有効になっており、OSのアドレス帳から自動的に取得した個人情報が、AutoFill Webフォームのアドレス帳カードに記録されているという。

　「攻撃者は悪質なWebサイトを使ってSafariからこの情報を引き出すことができてしまう」とグロスマン氏は言い、コンセプト実証（PoC）コードも公開した。ユーザーは悪質なWebサイトを見ただけで、氏名、居住地、勤務先、電子メールといった個人情報を外部に知られてしまう恐れがあるとしている。こうした情報は、スパムメールの送信やフィッシング詐欺といった攻撃に利用される恐れもある。

　グロスマン氏は6月17日にこの情報をAppleに提供したが、自動返信メール以上の返事はなかったという。情報流出を防ぐため、「ユーザーはSafariのAutoFill Webフォームを無効にした方がいい」と呼び掛けている。

　デンマークのセキュリティ企業Secuniaは7月22日、この問題に関するアドバイザリーを公開した。Safari 5.0で問題を確認し、ほかのバージョンも影響を受ける可能性があるとしている。リスクレベルは5段階で下から2番目の「Less critical」と評価している。

企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック

過去のセキュリティニュース一覧はこちら