Hvis du er som de fleste, stoler du på browserens autofyldning for at fuldføre irriterende webformularer. Browser "autofill" fylder automatisk dine oplysninger i felter i webformularer baseret på oplysninger, du tidligere har indtastet i disse felter.

Den dårlige nyhed er, at ondsindede tredjeparter og hackere med sorthat kan bruge denne autofyldningsfunktion i browsere til at narre dig til at give dine følsomme oplysninger væk. En hvidhatt hacker fra Finland, Viljami Kuosmanen, som også er en webudvikler, viste i sin GitHub-demo, at angribere kunne kapre autofill-funktionen i plugins, adgangskodeadministratorer (og sådanne værktøjer) og browsere.

Længe før Kuosmanen, ElevenPaths sikkerhedsanalytiker, Ricardo Martin Rodriguez, havde opdaget denne browser autofill sårbarhed i 2013. Indtil videre har Google ikke fundet en løsning på denne sårbarhed.

Spildende dine følsomme oplysninger ubevidst

På Kuosmanens demonstrationsside for demonstration af konceptet vil du se en simpel webformular bestående af kun to felter - navn og e-mail-adresse. Formularen har imidlertid mange skjulte felter (dvs. ude af syne) der; Disse skjulte felter omfatter adresse, organisation, telefonnummer, by, postnummer og land.

I en form som den ovenstående ville du kun se navn og e-mail-felter, men din autofyldningsfunktion vil automatisk udfylde dine detaljer i de resterende felter. Et phishing-webformular som det ovenstående ville have samlet flere oplysninger, end du er opmærksom på, når du klikker på Submit-knappen.

For at teste din browser og autofyldningsfunktioner for udvidelser kan du bruge det koncept-konceptwebsted, Kuosmanen havde oprettet. Ved indsendelse af formularen bemærkede jeg, at det havde taget mere information, end jeg gav. Jeg brugte den nyeste Mozilla Firefox til denne test og var forbløffet over, hvor meget information jeg spildte ud.

I Chrome udløser finansielle data en advarsel for websteder uden HTTPS. I min erfaring forsøgte Kuosmanens form at indsamle datoen jeg udfyldte formularen, min adresse, mit kreditkortnummer, CVV, udløbsdato for kreditkort, min by, land, email, navn, organisation, telefon og postnummer.

Formularen forsøgte endda at samle nogle metadata på min browser type, min nuværende IP-adresse og mere. Se mit skærmbillede nedenfor.

Apple Safari, Google Chrome og Opera var alle sårbare under en Kuosmanen-angrebstest.

I januar 2017 sagde Daniel Veditz, Mozillas vigtigste sikkerhedsingeniør, at Firefox-browsere ikke kan bedrages til at programfelt udfylde tekstbokse. Firefox-brugere er sikre på autofil angreb fra browsere (i det mindste for nu), da browseren ikke har et autofyldningssystem med flere bokse. Mozillas Firefox-browser gør det obligatorisk for brugerne at manuelt vælge præfyldte data for hver tekstboks i en webformular.

Konklusion: Sluk din browser autofill funktion

Den nemmeste forholdsregel til at modvirke phishing-angreb er at slukke for autofyldningsfunktionen i din browser, udvidelsesindstillinger eller adgangskodeadministrator. Din browser autofill funktion er som standard tændt.

Sådan slukkes autofyldning i Chrome:

1. Gå til browserens "Indstillinger".

2. Find "Avancerede indstillinger" nederst på siden.

3. Fjern markeringen "Aktivér autofyldning" i området "Adgangskoder og formularer".

Sådan slukkes autofill i Opera:

1. Gå til Indstillinger.

2. Gå til "Autofyld" og sluk for den.

Sådan slukkes autofyldning i Safari:

1. Gå til "Indstillinger."

2. Klik på "Autofyld" for at slukke for det.

Hvis du fandt dette indlæg nyttigt, klik venligst på "Ja" nedenfor. Vi vil også gerne se dine kommentarer.