連載
特集
カテゴリー
タグ
メディア

Safariで「ファイルを勝手に共有してしまう」脆弱性が発覚。被害を防ぐには?

  • カテゴリー:
  • TOOL
Safariで「ファイルを勝手に共有してしまう」脆弱性が発覚。被害を防ぐには?
Image: kovop58 / Shutterstock.com

先日、セキュリティ研究者のPawel Wylecial氏が、ユーザーが知らないうちにパソコンに保存されているファイルを共有してしまうおそれがあるSafariの脆弱性を指摘しました。

Wylecial氏自身はこのバグを「それほど深刻ではない」と語っています。ユーザー本人が手動で操作をしなければ、ファイルが共有されることはないためです。

とはいえ、こうも語っています。

共有されるファイルをユーザーから見えなくすることはとても簡単です。

最も近い例は、疑いを持たないユーザーに何らかのアクションを実行させようとするクリックジャッキングです。

どんなバグが起こるのか?

このバグの仕組みは非常にシンプルです。

SafariのWeb Share APIは「file://」 URIスキームをサポートしています。

これを利用して、ユーザーのパソコンに保存されているファイルへのリンクを、サイトがコンテンツを共有させたいときに使うボタンに組み込むことが可能となります。

たとえば、こんなページがありました。

20200902-safaribug02

[share it with friends!](友達にシェアしよう!)のボタンを押し、アプリ(たとえばMacのメールApp)で共有すると、「check out this cute kitten!」(見て!かわいい猫ちゃん!)というたわいのないメッセージともに、Macに保存されているパスワードファイルが勝手に添付されます!

サイトのソースコードを見ると、[file:///etc/passwd]という変数が埋め込まれているのがわかります。

20200902-safaribug03

ユーザーが十分に注意深ければ、ファイルが添付されていることに気づき、共有するのをやめたり、添付ファイルを削除するはずです。

しかし、不注意なユーザーは、送信するつもりのないファイルを誰かに送信してしまうことになるでしょう。

ユーザーにコンテンツを共有するよう呼びかけながら、この機能を悪用して何かを企むウェブサイトが必ず出てくると思われます。

テクノロジーに詳しいユーザーならだまされる可能性は低いかもしれません。しかし、技術に疎いユーザーは、コンテンツを友人に共有しようとしているときに、裏でファイルが勝手に送信されようとしていることに気づかないかもしれません。

Wylecial氏は、たとえばGmailアプリは添付ファイルの名前を変えてしまうことがあるので、パスワードファイルが送信されそうになっていることに気づかないかもしれない、と言っています。

バグ改修予定は、2021年春

Wylecialは2020年4月にこの脆弱性をAppleに開示しました。

Appleは7月、この問題を調査中だと同氏に返答し、8月に、2021年春に予定されているセキュリティアップデートでこの問題に対処するパッチを適用することを明らかにしました。

あわせて読みたい

MacでSafariの使い心地がさらに向上する10個のTIPS

スマホでGoogle Chrome・Safari・Firefoxを使う時の小技15


Image: kovop58 / Shutterstock.com

Source: Pawel Wylecial/redteam

David Murphy - Lifehacker US[原文

訳:伊藤貴之

swiper-button-prev
swiper-button-next