Autouzupełnianie w Google Chrome naraża nas na kradzież danych

Możliwość autouzupełniania formularzy w przeglądarkach to niezwykle przydatny mechanizm uwalniający nas od konieczności wielokrotnego wpisywania danych w formularzach. Jednak, jak ostrzega fiński haker i deweloper Viljami Kousmanen z łatwością może on posłużyć do przeprowadzenia ataków phishingowych. Metoda ataku jest banalnie prosta i nie wymaga żadnej specjalistycznej wiedzy ani dysponowania szczególnymi zasobami. Wystarczy w sprytny sposób umieścić na witrynie niewinnie wyglądający formularz.

Autouzupełnianie w Google Chrome naraża nas na kradzież danych
Mariusz Błoński

11.01.2017 | aktual.: 11.01.2017 23:40

Zalogowani mogą więcej

Możesz zapisać ten artykuł na później. Znajdziesz go potem na swoim koncie użytkownika

Kousmanen zauważył, że Chrome oraz Safari automatycznie wypełniają wszystkie pola formularza. Wystarczy, że użytkownik wypełni jedno z nich, by reszta została uzupełniona. Na czym więc polega atak? Wyobraźmy sobie, że wchodzimy na całkowicie niewinnie wyglądającą witrynę, na której jesteśmy proszeni o podanie nazwiska i adresu e-mail. Widzimy formularz, składający się tylko z dwóch pól. Nie wiemy jednak, że pozostała część formularza została ukryta poza oknem przeglądarki. Gdy wypełnimy jedno z widocznych pól, opcja autouzupełniania dokończy za nas resztę. My zobaczymy, że zostało wypełnione pole z adresem e-mail, ale nie będziemy wiedzieli, iż poza widokiem znajdowały się i zostały uzupełnione, pola na inne informacje, jak adres, numer telefonu czy kod pocztowy.

This is why I don't like autofill in web forms. #phishing #security #infosec pic.twitter.com/mVIZD2RpJ3

— Viljami Kuosmanen ? (@anttiviljami) 4 stycznia 2017Atak na pewno można przeprowadzić w programie LastPass oraz przeglądarkach Chrome i w Safari, chociaż ten drugi browser informuje użytkownika o wszystkich polach wypełnionych przez mechanizm autouzupełniania, więc uważny internauta powinien uniknąć ataku. Użytkownicy Firefoksa są bezpieczni, gdyż muszą kliknąć każde pole formularza, by zostało ono uzupełnione.

Jedyne, co może zrobić użytkownik Chrome'a, by uchronić się przed tego typu atakiem, to wyłączenie opcji autouzupełniania. Kwestią otwartą pozostaje odpowiedź na pytanie, czy na taki atak podatne są też wspierające autouzupełnianie dodatki do przeglądarek.

Programy

Zobacz więcej
Komentarze (28)