― MozillaZine.jp フォーラムは Mozilla 製品に関する情報交換の場です ―



All times are UTC + 9 hours

新しいトピックを投稿する トピックへ返信する  [ 6 件の記事 ] 
作成者 メッセージ
投稿記事Posted: 2022年6月12日(日) 16:48 
オフライン

登録日時: 2017年4月14日(金) 18:19
記事: 459
私は当トピック(件名)の「追試・検証を実施していません」が、
(問題の深刻さを踏まえて)速報性を優先し、下記の記事を引用します。
出典:
Your browser stores passwords and sensitive data in clear text in memory - gHacks Tech News
Martin Brinkmann
Jun 12, 2022
その要旨(意訳)
CyberArk のセキュリティ研究者 Zeev Ben Porat 氏によると「Web ブラウザはユーザー名、パスワード、セッションクッキーを含む機密データを平文でメモリに保存している可能性がある」とのこと。
https://www.ghacks.net/wp-content/uploa ... e-data.png
Google Chrome を含む、ほとんどの Chromium ベースのウェブブラウザ(Microsoft Edge、Brave、など)が影響を受けますが、ローカルの Windows 11 システムでの簡単なテストでは Firefox などのブラウザもこの問題の影響を受けることが確認されました。

データの抽出には、リモートアクセスや対象マシン上で動作しているソフトウェアへのアクセスで十分なため、対象マシンへの物理的なアクセスは必要ありません。抽出は、同一マシン上で動作している非昇格プロセスから行うことが可能です。

ユーザー名やパスワードなどのクレデンシャルデータを抽出するためには、ユーザーが入力する必要があるが、Zeev Ben Porat 氏は「ブラウザのパスワードマネージャに保存されているすべてのパスワードをメモリに読み込む」ことが可能であると指摘している。

セッションクッキーのデータもメモリ内に存在する場合、2要素認証のセキュリティではユーザーアカウントを保護しきれない可能性があり、データを抽出することでそのデータを利用したセッションハイジャック攻撃につながる可能性があります。

この問題は Google に通報されたが、すぐに「wont fix」のステータスを得ました。与えられた理由は「Chromium は物理的なローカルアクセス攻撃に関連する問題を修正しない」というものです。

Zeev Ben Porat は、CyberArk のブログでフォローアップ記事を公開し、
Go BLUE! A Protection Plan for Credentials in Chromium-based Browsers
緩和策とこの問題を悪用するさまざまな種類の攻撃について説明しています。


ブラウザのテスト方法
Windows ユーザは、無料ツール Process Hacker を使用してブラウザをテストすることができます。ポータブル版のプログラムをダウンロードし、アーカイブを解凍して、Process Hacker の実行ファイルを実行するだけで、すぐに始められます。

テストしたいブラウザに、ユーザー名やパスワードなどの機密データを入力します。
1. プロセス一覧でメインブラウザのプロセスをダブルクリックし、詳細を表示します。
2. 「Memory」タブに切り替えます。
3. [Strings]ボタンを有効にします。
4. [OK]を選択する。
5. 開いたウィンドウの[フィルタ]ボタンをアクティブにし、コンテキストメニューから[contains]を選択する。
6. Enter the filter pattern フィールドにパスワードやその他の機密情報を入力し、[OK]を選択する。
7. Process Hacker は、プロセスメモリ内にデータが見つかった場合、そのデータを返します。

_________________
Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:91.0) Gecko/20100101 Firefox/91.0


通報する
ページトップ
 プロフィール  
引用付きで返信する  
投稿記事Posted: 2022年6月12日(日) 19:43 
オフライン

登録日時: 2014年2月22日(土) 00:59
記事: 4006
Firefox に関して検証してみました。
いくつかのサイトで自動ログインを行い、そのパスワードがメモリーに展開されたままになっていないか Process Hacker で検索しましたが発見されませんでした。
パスワードマネージャーに保存されたデータが、常時平文でメモリーに保存してあるかのような話になっていますが、そんなことは無いように思います。

ただし、 about:logins ページを開いている間は、ログイン情報が平文でメモリーに展開されているようです。
タブを閉じるとメモリー上のログイン情報は消去されているようです。
したがって、プロセスのメモリーを盗み見ようとする悪意あるプログラムに対して警戒が必要な状況では、about:logins ページを開きっぱなしにしないように注意する必要はあるかもしれません。

_________________
Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:101.0) Gecko/20100101 Firefox/101.0


通報する
ページトップ
 プロフィール  
引用付きで返信する  
投稿記事Posted: 2022年6月12日(日) 20:01 
オフライン

登録日時: 2014年2月22日(土) 00:59
記事: 4006
次に Chrome について検証してみました。
・・・
Google カウントにログイン済みですが、新しいタブしか開いていない Chrome のプロセスから、平文のログイン情報が見つかりました。
Chrome に関しては確かにひどいですね。
ネットカフェのようなPCでは、たとえ Portable版を持参したとしても Chrome で自分のパスワード扱うことはしたくないと思いました。

_________________
Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:101.0) Gecko/20100101 Firefox/101.0


通報する
ページトップ
 プロフィール  
引用付きで返信する  
投稿記事Posted: 2022年6月12日(日) 20:40 
オフライン

登録日時: 2013年5月19日(日) 13:46
記事: 1925
諸行無常 さん、EarlgreyTea さん、maji です。
とっても興味深い事象です。

場違いな質問かもしれませんが、
この事象は Thunderbird も影響を受けますか?

_________________
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/102.0.5005.63 Safari/537.36 Edg/102.0.1245.39


通報する
ページトップ
 プロフィール  
引用付きで返信する  
投稿記事Posted: 2022年6月12日(日) 22:56 
オフライン

登録日時: 2014年2月22日(土) 00:59
記事: 4006
Thunderbird も検証してみました。
確認するまでもなかったのですが Firefox と同様です。
「保存されたログイン情報」を出している間、すべてのパスワードは平文でメモリーに展開されていますが、画面を閉じれば消えて残りません。

この件に関して騒ぎすぎるのもどうかと思います。
Chrome のように常時復号化したパスワードをメモリーに置いておくというやり方には全く賛成できませんが、データを使用する際にそれがメモリー上にあるのは当然だと思います。
ただ、必要最小限の期間となるようにした方がいいかとは思います。

検証では Process Hacker というツールを用いましたが、このような機能を持つプログラムが知らないうちに PC に入り込んで動作することを許してしまった時点で、セキュリティは崩壊しているわけで。

_________________
Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:101.0) Gecko/20100101 Firefox/101.0


通報する
ページトップ
 プロフィール  
引用付きで返信する  
投稿記事Posted: 2022年6月13日(月) 22:36 
オフライン

登録日時: 2013年5月19日(日) 13:46
記事: 1925
EarlgreyTea さん、maji です。

EarlgreyTea さんが書きました:
Thunderbird も検証してみました。
確認するまでもなかったのですが Firefox と同様です。
「保存されたログイン情報」を出している間、すべてのパスワードは平文でメモリーに展開されていますが、
画面を閉じれば消えて残りません。

検証いただきありがとうございます。
Thunderbird は Firefox と同様との事、了解しました。

EarlgreyTea さんが書きました:
この件に関して騒ぎすぎるのもどうかと思います。
Chrome のように常時復号化したパスワードをメモリーに置いておくというやり方には全く賛成できませんが、
データを使用する際にそれがメモリー上にあるのは当然だと思います。
ただ、必要最小限の期間となるようにした方がいいかとは思います。

なるほど。

EarlgreyTea さんが書きました:
検証では Process Hacker というツールを用いましたが、
このような機能を持つプログラムが知らないうちに PC に入り込んで動作することを許してしまった時点で、
セキュリティは崩壊しているわけで。

まさに、その通り、ですね。

では。

_________________
Mozilla/5.0 (X11; Linux x86_64; rv:101.0) Gecko/20100101 Firefox/101.0


通報する
ページトップ
 プロフィール  
引用付きで返信する  
期間内表示:  ソート  
新しいトピックを投稿する トピックへ返信する  [ 6 件の記事 ] 

All times are UTC + 9 hours


オンラインデータ

このフォーラムを閲覧中のユーザー: なし & ゲスト[7人]


トピック投稿:  可
返信投稿:  可
記事編集: 不可
記事削除: 不可
ファイル添付: 不可

検索:
ページ移動:  
Powered by MozillaZine.jp® Forum Software © phpBB Group , Almsamim WYSIWYG
Japanese translation principally by ocean