Din browsers AutoFill funktion kan lække dine personlige informationer til hackere

De fleste af os synes, det er irriterende at udfylde web formularer, især på mobiltelefoner.

For at gøre hele processen nemmere, indeholder Google Chrome og andre større browsere derfor en "Autofill" funktion, der automatisk udfylder web formularen baserset på data, du tidligere har indtastet i lignende felter.

Det har imidlertid nu vist sig, at hackere kan bruge denne autofill funktion imod dig og narre dig til at give dine private informationer til dem eller ondsindede tredjeparter.

Den finske web udvikler og Viljami Kuosmanen, som arbejder med "godartet hacking", har udgivet et demo på GitHub, der viser, hvordan en hacker kan udnytte den autofill funktion, der tilbydes af de fleste browsere, plugins og værktøjer som fx Password Managers.

Selv om dette trick allerede blev opdaget af Ricardo Martin Rodriguez, der er sikkerhedsanalytiker hos ElevenPaths, i 2013, ser det ikke ud til, at Google har gjort noget for at adressere denne svaghed i Autofill funktionen.

En proof-of-concept demo website består af en enkel online web formular med kun to felter: Navn og e-mail. Men hvad der ikke er synligt, er de mange skjulte felter, herunder telefonnummer, organisation, adresse, postnummer, by og land.

 

Sådan giver du dine personlige informationer væk uden at vide det


Så hvis brugere med en autofill profil konfigureret i deres browsere udfylder denne enkle formular og klikker på send tasten, sender de alle felterne uden at vide, at de seks felter, der er skjult for dem men faktisk ligger på siden, ligeledes udfyldes og sendes til skruppelløse phishers.

Du kan også teste din browser og  udvidede autofill funktion ved at benytte Kuosmanen's PoC side.

Kuosmanen kan gøre dette angreb endnu værre ved at tilføje flere personlige felter uden for brugerens synsvidde, herunder brugerens adresse, kreditkortnummer, udløbsdato og  CVV, selvom auto-filling af financielle data formularer udløser advarsler på Chrome, når siderne ikke indeholder HTTPS. Kuosmanen angrebet er foretaget på en lang række større  browsere og autofill værktøjer, herunder Google Chrome, Apple Safari, Opera og endda den populære cloud security vault LastPass.

Mozilla's Firefox brugere behøver ikke bekymre sig om dette specifikke angreb, da browseren i øjeblikket ikke har noget multi-box autofill system og tvinger brugerne til manuelt at vælge allerede udfyldte data for hvert felt.

Dermed kan Firefox browseren ikke narres til at udfylde tekstfelter programmæssigt, siger Mozilla's øverste sikkerhedstekniker Daniel Veditz.


Sådan deaktiverer du autofill funktionen

Den enkleste måde at beskytte dig selv mod sådanne phishing attacks er at deaktivere autofill funktionen for formularer i din browser, password manager eller extension settings.

 Autofill funktionen er aktiveret by default. Sådan deaktiverer du denne funktion i Chrome:

 Gå til  Settings → Show Advanced Settings nederst og fjern markeringen i afkrydsningsfeltet Enable Autofill feltet til udfyldning af  web formularer med et enkelt klik.

 I Opera skal du gå ind i Settings → Autofill og deaktivere det.

 I Safari skal du gå ind i Preferences og kllikke på AutoFill for at deaktivere.

 

Artikel fra The Hacker News, 11. januar 2017, Forfatter: Swati Khandelwal