「Autofill」の脆弱性

昨年IPAに報告した「Autofill」の脆弱性について、IPAに情報非開示依頼の取り下げを申請して認められたので、脆弱性関連情報を公開します。


保存しているパスワードが漏洩する問題

説明書きに書いてあるように、SiteのところにはURLだけではなく、タイトルも書けます。サイトAのページタイトルにサイトBのURLが含まれていると、サイトBのパスワード等をサイトAにも送ってしまいます。

Exploit

Yahoo!のIDとパスワードを登録して、↑のページにアクセスするとYahoo!のページではないのに、Yahoo!のIDとパスワードが表示されます。

XSS

設定ページの値の部分にXSSがあります。編集するのはユーザー自身なので問題無さそうですが、AutofillにはページにIDとパスワードを入力して、
右クリック → Autofill → Add rules for this form...
で入力されているIDなどを登録する機能があり、その際に隠しフィールドにXSSするような文字列が仕込まれているとそのまま登録してしまいます。

Exploit

↑のページにアクセスして、適当なIDとパスワードを入力し、Autofillに登録します。Autofillのオプションページを開くと、スクリプトが動いて登録しているIDとパスワードが表示されます。innerHTMLで<script>が書き込まれても動かなかったので、イベントハンドラを使いました。