• IT-Karriere:
  • Services:

Browser: Autofill-Funktion ermöglicht begrenztes Phishing

Bösartige Webseiten können die Autovervollständigen-Funktion einiger Browser missbrauchen, um unbemerkt an persönliche Nutzerdaten zu gelangen. Zum Schutz hilft offenbar nur, Autofill ganz abzuschalten oder den Browser zu wechseln.

Artikel veröffentlicht am ,
Demoseite von Viljami Kuosmanen
Demoseite von Viljami Kuosmanen (Bild: Golem.de/CC0 1.0)

Webseiten können die Autovervollständigung bei Browsern nutzen, um unbemerkt persönliche Daten abzugreifen. Grund für den möglichen Datenleak ist die - eigentlich bekannte - Tatsache, dass Browser wie Googles Chrome oder Apples Safari bei der Nutzung von Autofill automatisch alle auf einem Webformular zur Verfügung stehenden Felder ausfüllen. Und zwar unabhängig davon, ob die Felder für den Nutzer der Webseite sichtbar sind oder nicht.

Stellenmarkt
  1. NOVENTI HealthCare GmbH, München
  2. Dataport, Bremen, Magdeburg, Hamburg

Diesen Umstand machte sich der finnische Programmierer Viljami Kuosmanen zunutze und schrieb eine Demoseite (Code auf Github), bei der neben den sichtbaren Formularfeldern Name und E-Mail noch weitere Felder für Telefonnummer, Firma und Postanschrift versteckt sind. Mit der simplen HTML/CSS-Anweisung <p style="margin-left:-500px"></p> verschwinden die Felder aus dem Blickfeld des Nutzers, werden aber von den genannten Browsern offenbar dennoch ausgefüllt.

Nicht neu, aber ungelöst

Im Prinzip ist die Verwendung versteckter Felder nicht neu. Ähnlich wird sie beispielsweise für Honeypots eingesetzt, mit denen Formulare Spam-Bots einfangen können. "Das ist die gleiche Idee, nur dass ich echte Browser einfange statt Spam-Bots", schreibt Kuosmanen. Ein Ausnutzen in freier Wildbahn ist ihm bisher aber nicht bekannt.

Auf die Idee, versteckte Formularfelder für echtes Phishing zu verwenden, sei er eher zufällig gekommen. "Ich war genervt, dass mein Chrome-Browser beim Shoppen im Netz immer die falschen Felder ausfüllt. Also habe ich nachgeschaut, was Chrome alles über mich im Autofill gespeichert hat und war überrascht, wie viele Informationen da drin waren."

  • Demo für das Pishing über das Autofill unsichtbarer Formularfelder (Quelle: Viljami Kuosmanen/Screenshot: Golem.de)
  • Demo für das Pishing über das Autofill unsichtbarer Formularfelder (Quelle: Viljami Kuosmanen/Screenshot: Golem.de)
  • Demo für das Pishing über das Autofill unsichtbarer Formularfelder (Quelle: Viljami Kuosmanen/Screenshot: Golem.de)
Demo für das Pishing über das Autofill unsichtbarer Formularfelder (Quelle: Viljami Kuosmanen/Screenshot: Golem.de)

Für noch sensiblere Informationen wie Benutzernamen, Passwörter oder Kreditkartendaten besteht laut Kuosmanen keine Gefahr. Da gebe es in Browsern wie Chrome besondere Warnmeldungen für Nutzer. Bei den anderen persönlichen Daten sieht es offenbar schlechter aus.

Chrome problematisch, Firefox nicht betroffen

"Ich selbst habe nur Chrome und Safari getestet, weil ich die beiden Browser am meisten nutze", schreibt der Programmierer. "Safari macht seinen Job etwas besser, weil er Nutzern vorher zeigt, welche Informationen automatisch ausgefüllt werden." Wer da nicht genau hinschaue, bleibe aber auch bei Safari ungeschützt, denn "versteckte Felder werden am Ende dennoch ausgefüllt."

Nicht betroffen ist offenbar Mozillas Firefox, bei dem Autofill eher eine Vorschlagfunktion ist - und daher auch Autocomplete heißt. Klickt man in Firefox auf ein leeres Formularfeld, werden lediglich frühere Eingaben angezeigt, die Nutzer dann manuell auswählen können. Versteckte Felder bleiben so einfach leer.

Lösungen gibt es

Um das Problem zu umgehen, werden in Foren von "Autofill ganz abschalten" bis zu "Autofill-after-draw" bereits diverse Vorschläge diskutiert. Für Kuosmanen wäre die beste Lösung, dass Browser nur solche Formularfelder automatisch ausfüllen, die zuvor aktiv vom Nutzer angeklickt wurden. Im Prinzip also Mozillas Lösung für den Firefox. "Persönlich mag ich zwar auch Safaris Ansatz, den Nutzer zu informieren, welche Felder im Formular ausgefüllt werden, aber das wird wahrscheinlich von Nutzern zu einfach übersehen."

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. 99,99€
  2. 189,90€ (Bestpreis!)
  3. 106,68€ (Bestpreis!)
  4. 94,90€

Vielfalt 09. Jan 2017

Danke!

nolonar 09. Jan 2017

IE (11) und Edge sind beide nicht betroffen. Genau wie in Firefox werden dort lediglich...

dschu 08. Jan 2017

Genau das ist ein XHR-Request...

User_x 07. Jan 2017

http://www.berliner-kurier.de/ratgeber/digital/fiese-masche-vorsicht-vor-lidl-gutscheinen...

LinuxMcBook 07. Jan 2017

Dabei kommt noch das Problem hinzu, dass viele Seiten die Unart haben, die Beschreibung...


Folgen Sie uns
       


Golem.de hackt Wi-Fi-Kameras per Deauth

WLAN-Überwachungskameras lassen sich ganz einfach ausknipsen - Golem.de zeigt, wie.

Golem.de hackt Wi-Fi-Kameras per Deauth Video aufrufen
Bosch-Parkplatzsensor im Test: Ein Knöllchen von LoRa
Bosch-Parkplatzsensor im Test
Ein Knöllchen von LoRa

Immer häufiger übernehmen Sensoren die Überwachung von Parkplätzen. Doch wie zuverlässig ist die Technik auf Basis von LoRa inzwischen? Golem.de hat einen Sensor von Bosch getestet und erläutert die Unterschiede zum Parking Pilot von Smart City System.
Ein Test von Friedhelm Greis

  1. Automated Valet Parking Daimler und Bosch dürfen autonom parken
  2. Enhanced Summon Teslas sollen künftig ausparken und vorfahren

Frauen in der IT: Ist Logik von Natur aus Männersache?
Frauen in der IT
Ist Logik von Natur aus Männersache?

Wenn es um die Frage geht, warum es immer noch so wenig Frauen in der IT gibt, kommt früher oder später das Argument, dass Frauen nicht eben zur Logik veranlagt seien. Kann die niedrige Zahl von Frauen in dieser Branche tatsächlich mit der Biologie erklärt werden?
Von Valerie Lux

  1. IT-Jobs Gibt es den Fachkräftemangel wirklich?
  2. Arbeit im Amt Wichtig ist ein Talent zum Zeittotschlagen
  3. IT-Freelancer Paradiesische Zustände

Nitrokey und Somu im Test: Zwei Fido-Sticks für alle Fälle
Nitrokey und Somu im Test
Zwei Fido-Sticks für alle Fälle

Sie sind winzig und groß, sorgen für mehr Sicherheit bei der Anmeldung per Webauthn und können gepatcht werden: Die in Kürze erscheinenden Fido-Sticks von Nitrokey und Solokeys machen so manches besser als die Konkurrenz von Google und Yubico. Golem.de konnte bereits vorab zwei Prototypen testen.
Ein Test von Moritz Tremmel

  1. iOS 13 iPhone bekommt Webauthn per NFC
  2. Webauthn unter Android ausprobiert Dropbox kann, was andere nicht können

    •  /