대부분의 사람들과 같다면 브라우저 자동 완성에 의존하여 성가신 웹 양식을 완성합니다. 브라우저 "자동 완성"은 이전에 이 필드에 입력한 정보를 기반으로 웹 양식의 필드에 정보를 자동으로 채웁니다.
나쁜 소식은 악의적인 제3자와 블랙햇 해커가 브라우저에서 이 자동 완성 기능을 사용하여 민감한 정보를 제공하도록 속일 수 있다는 것입니다. 웹 개발자이기도 한 핀란드의 화이트햇 해커 Viljami Kuosmanen은 GitHub 데모에서 공격자가 플러그인, 비밀번호 관리자(및 그러한 도구) 및 브라우저의 자동 완성 기능을 가로챌 수 있음을 보여주었습니다.
Kuosmanen보다 훨씬 이전에 ElevenPaths 보안 분석가인 Ricardo Martin Rodriguez가 2013년에 이 브라우저 자동 완성 취약점을 발견했습니다. 지금까지 Google은 이 취약점에 대한 해결책을 찾지 못했습니다.
무의식적으로 민감한 정보 유출
Kuosmanen의 개념 증명 데모 웹 사이트에는 이름과 이메일 주소라는 두 개의 필드로 구성된 간단한 웹 양식이 있습니다. 그러나 양식에는 많은 숨겨진(즉, 보이지 않는) 필드가 있습니다. 이러한 숨겨진 필드에는 주소, 조직, 전화번호, 도시, 우편번호 및 국가가 포함됩니다.
위와 같은 양식에서는 이름과 이메일 필드만 표시되지만 자동 완성 기능은 나머지 필드에 세부 정보를 자동으로 채웁니다. 위와 같은 피싱 웹 양식은 제출 버튼을 클릭했을 때 알고 있는 것보다 더 많은 정보를 수집했을 것입니다.
브라우저 및 확장 자동 완성 기능을 테스트하려면 Kuosmanen이 설정한 개념 증명 사이트를 사용할 수 있습니다. 양식을 제출할 때 내가 제공한 것보다 더 많은 정보를 수집했다는 것을 알았습니다. 이 테스트를 위해 최신 Mozilla Firefox를 사용했고 내가 유출한 정보의 양에 놀랐습니다.
Chrome에서 재무 데이터 자동 완성은 HTTPS가 없는 웹사이트에 대한 경고를 트리거합니다. 내 경험상 Kuosmanen의 양식은 양식을 작성한 날짜, 주소, 신용 카드 번호, CVV, 신용 카드 만료 날짜, 도시, 국가, 이메일, 이름, 조직, 전화 번호 및 우편 번호를 수집하려고 했습니다.
이 양식은 내 브라우저 유형, 현재 IP 주소 등에 대한 일부 메타데이터를 수집하려고 시도했습니다. 아래 내 스크린샷을 참조하세요.
Apple Safari, Google Chrome, Opera는 Kuosmanen 공격 테스트에서 모두 취약했습니다.
2017년 1월 Mozilla의 수석 보안 엔지니어인 Daniel Veditz는 Firefox 브라우저가 프로그래밍 방식으로 텍스트 상자를 채우도록 속일 수 없다고 말했습니다. Firefox 사용자는 브라우저에 다중 상자 자동 완성 시스템이 없기 때문에 브라우저 자동 완성 공격(적어도 현재로서는)으로부터 안전합니다. Mozilla의 Firefox 브라우저에서는 사용자가 웹 양식의 각 텍스트 상자에 대해 미리 채워진 데이터를 수동으로 선택해야 합니다.
결론:브라우저 자동 완성 기능 끄기
피싱 공격에 대해 취하는 가장 쉬운 예방 조치는 브라우저, 확장 프로그램 설정 또는 암호 관리자에서 양식 자동 완성 기능을 끄는 것입니다. 브라우저 자동 완성 기능은 기본적으로 켜져 있습니다.
Chrome에서 자동 완성을 끄려면:
1. 브라우저의 "설정"으로 이동합니다.
2. 페이지 하단에서 "고급 설정"을 찾습니다.
3. "비밀번호 및 양식" 영역에서 "자동 완성 활성화"를 선택 취소합니다.
Opera에서 자동 완성을 끄려면:
1. 설정으로 이동합니다.
2. "자동 완성"으로 이동하여 끕니다.
Safari에서 자동 완성을 끄려면:
1. "기본 설정"으로 이동합니다.
2. "자동 완성"을 클릭하여 끕니다.
이 게시물이 유용하셨다면 아래의 "예"를 클릭하십시오. 여러분의 의견도 기쁘게 생각합니다.