Autouzupełnianie w Chrome naraża nas na kradzież danych

OXYGEN THIEF

Bardzo aktywny
Członek Załogi
Administrator
Dołączył
26 Maj 2010
Posty
35549
Reakcje/Polubienia
24586
Miasto
Trololololo
Autouzupełnianie w Google Chrome naraża nas na kradzież danych.

Możliwość autouzupełniania formularzy w przeglądarkach to niezwykle przydatny mechanizm uwalniający nas od konieczności wielokrotnego wpisywania danych w formularzach. Jednak, jak ostrzega fiński haker i deweloper Viljami Kousmanen z łatwością może on posłużyć do przeprowadzenia ataków phishingowych. Metoda ataku jest banalnie prosta i nie wymaga żadnej specjalistycznej wiedzy ani dysponowania szczególnymi zasobami. Wystarczy w sprytny sposób umieścić na witrynie niewinnie wyglądający formularz.

Kousmanen zauważył, że Chrome oraz Safari automatycznie wypełniają wszystkie pola formularza. Wystarczy, że użytkownik wypełni jedno z nich, by reszta została uzupełniona. Na czym więc polega atak? Wyobraźmy sobie, że wchodzimy na całkowicie niewinnie wyglądającą witrynę, na której jesteśmy proszeni o podanie nazwiska i adresu e-mail. Widzimy formularz, składający się tylko z dwóch pól. Nie wiemy jednak, że pozostała część formularza została ukryta poza oknem przeglądarki. Gdy wypełnimy jedno z widocznych pól, opcja autouzupełniania dokończy za nas resztę. My zobaczymy, że zostało wypełnione pole z adresem e-mail, ale nie będziemy wiedzieli, iż poza widokiem znajdowały się i zostały uzupełnione, pola na inne informacje, jak adres, numer telefonu czy kod pocztowy.
C1UYX2LXcAA_KYJ.jpg

Atak na pewno można przeprowadzić w programie LastPass oraz przeglądarkach Chrome i w Safari, chociaż ten drugi browser informuje użytkownika o wszystkich polach wypełnionych przez mechanizm autouzupełniania, więc uważny internauta powinien uniknąć ataku. Użytkownicy Firefoksa są bezpieczni, gdyż muszą kliknąć każde pole formularza, by zostało ono uzupełnione.

Jedyne, co może zrobić użytkownik Chrome'a, by uchronić się przed tego typu atakiem, to wyłączenie opcji autouzupełniania. Kwestią otwartą pozostaje odpowiedź na pytanie, czy na taki atak podatne są też wspierające autouzupełnianie dodatki do przeglądarek.
info:dobreprogramy.pl
Zaloguj lub Zarejestruj się aby zobaczyć!
 

zmij

Wygadany
Dołączył
24 Lipiec 2012
Posty
87
Reakcje/Polubienia
10
Dlatego nigdy nie bawię sie w autouzupełnianie. Trudno coś za coś. A yandex automatycznie usuwa wszelkie ślady, wyposażony w np. auto history wipe. Zawsze to jaskieś zabezpieczenie, jeśli pozyskanie danych jest tak banalnie proste.
 
Do góry