So verhindern Sie, dass Funktionen zum automatischen Ausfüllen von Browsern Ihre persönlichen Daten verlieren

Wenn Sie wie die meisten Menschen sind, verlassen Sie sich auf die Autofill-Funktion des Browsers, um lästige Webformulare zu vervollständigen. Der Browser "AutoFill" füllt Ihre Informationen automatisch in Felder in Webformularen, basierend auf Informationen, die Sie zuvor in diese Felder eingegeben haben.

Die schlechte Nachricht ist, dass bösartige Dritte und Black-Hat-Hacker diese AutoFill-Funktion in Browsern verwenden können, um Sie dazu zu bringen, Ihre sensiblen Informationen preiszugeben. Ein White-Hat-Hacker aus Finnland, Viljami Kuosmanen, der auch ein Web-Entwickler ist, zeigte in seiner GitHub-Demo, dass Angreifer die Autofill-Funktion in Plugins, Passwort-Managern (und solchen Tools) und Browsern kapern könnten.

Lange vor Kuosmanen hatte der Sicherheitsexperte von ElevenPath, Ricardo Martin Rodriguez, im Jahr 2013 diese Sicherheitslücke für Browser-Autofills entdeckt. Bisher hat Google keine Lösung für diese Sicherheitsanfälligkeit gefunden.

Verschütten Sie Ihre sensiblen Informationen unwissentlich

Auf der Proof-of-Concept Demo-Website von Kuosmanen sehen Sie ein einfaches Webformular, das nur aus zwei Feldern besteht - Name und E-Mail-Adresse. Die Form hat jedoch viele verborgene Felder (dh außerhalb der Sicht); Zu diesen versteckten Feldern gehören Adresse, Organisation, Telefonnummer, Stadt, Postleitzahl und Land.

In einem Formular wie dem oben genannten würden Sie nur die Felder Name und E-Mail sehen, aber Ihre Autofill-Funktion würde automatisch Ihre Daten in die verbleibenden Felder eintragen. Ein Phishing-Web-Formular wie das obige hätte mehr Informationen gesammelt, als Ihnen bekannt ist, wenn Sie auf die Schaltfläche Senden klicken.

Um die Funktionen zum automatischen Ausfüllen Ihres Browsers und der Erweiterung zu testen, können Sie die von Kuosmanen eingerichtete Proof-of-Concept-Site verwenden. Als ich das Formular abschickte, bemerkte ich, dass es mehr Informationen als ich bekommen hatte. Ich habe den neuesten Mozilla Firefox für diesen Test verwendet und war erstaunt, wie viele Informationen ich rausgeschmissen habe.

Beim automatischen Ausfüllen von Finanzdaten in Chrome wird eine Warnung für Websites ohne HTTPS ausgelöst. Nach meiner Erfahrung versuchte Kuosmanen, das Datum, an dem ich das Formular ausgefüllt hatte, meine Adresse, meine Kreditkartennummer, CVV, das Ablaufdatum meiner Kreditkarte, meine Stadt, mein Land, E-Mail, Name, Organisation, Telefon und Postleitzahl zu erfassen.

Das Formular hat sogar versucht, einige Metadaten über meinen Browsertyp, meine aktuelle IP-Adresse und mehr zu sammeln. Siehe meinen Screenshot unten.

Apple Safari, Google Chrome und Opera waren während eines Kuosmanen-Angriffstests anfällig.

Im Januar 2017 sagte Daniel Veditz, Mozillas wichtigster Sicherheitsingenieur, dass Firefox-Browser nicht dazu täuschen können, Textfelder programmatisch auszufüllen. Firefox-Benutzer sind vor automatischen Autofill-Angriffen geschützt (zumindest für den Moment), da der Browser kein Autofill-System für mehrere Boxen besitzt. Mozillas Firefox-Browser macht es für Benutzer obligatorisch, vorgefüllte Daten für jedes Textfeld in einem Webformular manuell auszuwählen.

Fazit: Schalten Sie die AutoFill-Funktion Ihres Browsers aus

Die einfachste Maßnahme gegen Phishing-Angriffe besteht darin, die Funktion zum automatischen Ausfüllen von Formularen in Ihrem Browser, die Einstellungen für Erweiterungen oder den Passwort-Manager zu deaktivieren. Die automatische Ausfüllungsfunktion Ihres Browsers ist standardmäßig aktiviert.