Autouzupełnianie w Google Chrome naraża nas na kradzież danych

Strona głównaAutouzupełnianie w Google Chrome naraża nas na kradzież danych
11.01.2017 23:06
Autouzupełnianie w Google Chrome naraża nas na kradzież danych
Mariusz Błoński
Mariusz Błoński

Możliwość autouzupełniania formularzy w przeglądarkach to niezwykle przydatny mechanizm uwalniający nas od konieczności wielokrotnego wpisywania danych w formularzach. Jednak, jak ostrzega fiński haker i deweloper Viljami Kousmanen z łatwością może on posłużyć do przeprowadzenia ataków phishingowych. Metoda ataku jest banalnie prosta i nie wymaga żadnej specjalistycznej wiedzy ani dysponowania szczególnymi zasobami. Wystarczy w sprytny sposób umieścić na witrynie niewinnie wyglądający formularz.

Kousmanen zauważył, że Chrome oraz Safari automatycznie wypełniają wszystkie pola formularza. Wystarczy, że użytkownik wypełni jedno z nich, by reszta została uzupełniona. Na czym więc polega atak? Wyobraźmy sobie, że wchodzimy na całkowicie niewinnie wyglądającą witrynę, na której jesteśmy proszeni o podanie nazwiska i adresu e-mail. Widzimy formularz, składający się tylko z dwóch pól. Nie wiemy jednak, że pozostała część formularza została ukryta poza oknem przeglądarki. Gdy wypełnimy jedno z widocznych pól, opcja autouzupełniania dokończy za nas resztę. My zobaczymy, że zostało wypełnione pole z adresem e-mail, ale nie będziemy wiedzieli, iż poza widokiem znajdowały się i zostały uzupełnione, pola na inne informacje, jak adres, numer telefonu czy kod pocztowy.

This is why I don't like autofill in web forms. #phishing #security #infosec pic.twitter.com/mVIZD2RpJ3

— Viljami Kuosmanen ? (@anttiviljami) 4 stycznia 2017Atak na pewno można przeprowadzić w programie LastPass oraz przeglądarkach Chrome i w Safari, chociaż ten drugi browser informuje użytkownika o wszystkich polach wypełnionych przez mechanizm autouzupełniania, więc uważny internauta powinien uniknąć ataku. Użytkownicy Firefoksa są bezpieczni, gdyż muszą kliknąć każde pole formularza, by zostało ono uzupełnione.

Jedyne, co może zrobić użytkownik Chrome'a, by uchronić się przed tego typu atakiem, to wyłączenie opcji autouzupełniania. Kwestią otwartą pozostaje odpowiedź na pytanie, czy na taki atak podatne są też wspierające autouzupełnianie dodatki do przeglądarek.

Programy

Aktualizacje
Aktualizacje
Nowości
Oceń jakość naszego artykułuTwoja opinia pozwala nam tworzyć lepsze treści.
Udostępnij:
Wybrane dla Ciebie
Komentarze (28)