ウェブブラウザのパスワードマネージャーにユーザー情報を盗み出される脆弱性

ウェブブラウザにはユーザーの利便性を考慮して、ウェブサイトやウェブサービスのログインIDとパスワードを記録する機能が搭載されています。しかし、このパスワードマネージャーに、第三者のスクリプトによって保存したユーザー情報が盗み出されてしまう脆弱性が存在していることがわかりました。

No boundaries for user identities: Web trackers exploit browser login managers
https://freedom-to-tinker.com/2017/12/27/no-boundaries-for-user-identities-web-trackers-exploit-browser-login-managers/

Flaw In Major Browsers Allows 3rd-Party Scripts to Steal Your Saved Passwords
https://thehackernews.com/2018/01/browser-password-managers.html

脆弱性を指摘したのは、プリンストン大学の情報技術政策センターが運営する「Freedom to Tinker」。

Freedom to Tinkerによると、ユーザー情報をパスワードマネージャーに記録した時点では情報はまだ無事なのですが、その後、同じウェブサイト(ドメイン)上で、第三者による追跡スクリプトが仕込まれた別のページを開くと、スクリプトが不可視のログインフォームを表示。すると、パスワードマネージャーによってこのサイトのログイン情報が自動的に入力されて、盗み取られてしまうとのこと。メールアドレスをログインIDとして利用するサービスの場合、メールアドレスが流出することになります。

Freedom to Thinkerでは実際に情報が盗み取られる過程がわかるデモページを用意しています。

Demo - Login manager autofill abuse
https://senglehardt.com/demo/no_boundaries/loginmanager/

ページ下部の入力フォームに、適当な偽のメールアドレスと、同じく適当な偽のパスワードを入力し、「Submit」をクリックします。デモページではありますが、ホンモノのメールアドレスやパスワードは入力しないでください。

ログイン情報を保存するか尋ねるダイアログが表示されたら「保存する」をクリック。Firefoxの場合はこんな画面。

ページ下部の「Please save the password and CLICK HERE to continue the demo.」という文字列をクリック。

するとページが遷移し、さきほど入力した偽のメールアドレスとパスワードが表示されました。Chromeの場合、ページ移動後にどこかをクリックする必要があります。

Freedom to Thinkerの調査によると、Alexaのウェブサイトランキングで上位100万件に入ったサイトのうち、1110件で同種のスクリプトが見つかったとのこと。

簡単な対策としては、まずはブラウザのパスワードマネージャーに信頼できないサイトのログイン情報を保存しないことです。また、ブラウザのオートフィル機能を切るのも1つの手です。