先日、セキュリティ研究者のPawel Wylecial氏が、ユーザーが知らないうちにパソコンに保存されているファイルを共有してしまうおそれがあるSafariの脆弱性を指摘しました。
Wylecial氏自身はこのバグを「それほど深刻ではない」と語っています。ユーザー本人が手動で操作をしなければ、ファイルが共有されることはないためです。
とはいえ、こうも語っています。
共有されるファイルをユーザーから見えなくすることはとても簡単です。
最も近い例は、疑いを持たないユーザーに何らかのアクションを実行させようとするクリックジャッキングです。
どんなバグが起こるのか?
このバグの仕組みは非常にシンプルです。
SafariのWeb Share APIは「file://」 URIスキームをサポートしています。
これを利用して、ユーザーのパソコンに保存されているファイルへのリンクを、サイトがコンテンツを共有させたいときに使うボタンに組み込むことが可能となります。
たとえば、こんなページがありました。
[share it with friends!](友達にシェアしよう!)のボタンを押し、アプリ(たとえばMacのメールApp)で共有すると、「check out this cute kitten!」(見て!かわいい猫ちゃん!)というたわいのないメッセージともに、Macに保存されているパスワードファイルが勝手に添付されます!
サイトのソースコードを見ると、[file:///etc/passwd]という変数が埋め込まれているのがわかります。
ユーザーが十分に注意深ければ、ファイルが添付されていることに気づき、共有するのをやめたり、添付ファイルを削除するはずです。
しかし、不注意なユーザーは、送信するつもりのないファイルを誰かに送信してしまうことになるでしょう。
ユーザーにコンテンツを共有するよう呼びかけながら、この機能を悪用して何かを企むウェブサイトが必ず出てくると思われます。
テクノロジーに詳しいユーザーならだまされる可能性は低いかもしれません。しかし、技術に疎いユーザーは、コンテンツを友人に共有しようとしているときに、裏でファイルが勝手に送信されようとしていることに気づかないかもしれません。
Wylecial氏は、たとえばGmailアプリは添付ファイルの名前を変えてしまうことがあるので、パスワードファイルが送信されそうになっていることに気づかないかもしれない、と言っています。
バグ改修予定は、2021年春
Wylecialは2020年4月にこの脆弱性をAppleに開示しました。
Appleは7月、この問題を調査中だと同氏に返答し、8月に、2021年春に予定されているセキュリティアップデートでこの問題に対処するパッチを適用することを明らかにしました。
あわせて読みたい
Image: kovop58 / Shutterstock.com
Source: Pawel Wylecial/redteam
David Murphy - Lifehacker US[原文]
"共有" - Google ニュース
September 04, 2020 at 10:00AM
https://ift.tt/31Ww27d
Safariで「ファイルを勝手に共有してしまう」脆弱性が発覚。被害を防ぐには? - ライフハッカー[日本版]
"共有" - Google ニュース
https://ift.tt/3bGNorw
Shoes Man Tutorial
Pos News Update
Meme Update
Korean Entertainment News
Japan News Update
No comments:
Post a Comment