Produktempfehlung: Kaspersky lab

Chrome, Safari, Opera und Erweiterungen wie LastPass können ausgetrickst werden, um per Autofill mehr Informationen preiszugeben, als der Nutzer ahnt.

Wie auf ‘Heise’ und ‘ZD Net’ berichtet, konnte der finnische Web-Entwickler Viljami Kuosmanen eine Methode entdecken, mit der sich die Autofill-Mechanismen etlicher Browser und Browser-Erweiterungen austricksen lassen, um persönliche Daten abzufischen.

Konnte das Opfer auf eine präparierte Website gelockt werden, sollen hier harmlose Informationen wie zum Beispiel Namen und E-Mail-Adresse eingegeben werden. Nutzt man die Autofill-Funktion, werden unsichtbare Felder mit weiteren Daten aufgefüllt.

Denn auch wenn sich Formularfelder außerhalb des sichtbaren Bereichs befinden füllt sie zum Beispiel Chrome fleißig aus.

Somit denkt der Nutzer, er habe lediglich zwei Informationen angegeben, nämlich Name und E-Mail-Adresse, obwohl im Hintergrund weitere Informationen abgegriffen werden, wie etwa Adresse, Telefonnummer oder auch Kreditkartendaten.

Kuosmanen hat eine Demo-Site aufgesetzt, auf der man den Angriff mit seinem Browser nachvollziehen kann, und den Code auf GitHub zum Herunterladen bereitgestellt.

Hingegen Safari dem Nutzer mitteilt, welche Informationen es im Formular einträgt (auch wenn diese nicht sichtbar sind), tut dies Chrome nicht. Laut Kuosmanen ist nur der Firefox gegen den Trick immun, da der Anwender explizit jedes Formularfeld anklicken muss.

Quellen: Heise, ZD Net

Dir hat dieser Bericht weiter geholfen bzw. gefallen? Dann werde ein Teil von Mimikama/ZDDK und unterstütze uns auf Patreon.
Werbung