Abo
  • Services:
Anzeige
Demoseite von Viljami Kuosmanen
Demoseite von Viljami Kuosmanen (Bild: Golem.de/CC0 1.0)

Browser: Autofill-Funktion ermöglicht begrenztes Phishing

Demoseite von Viljami Kuosmanen
Demoseite von Viljami Kuosmanen (Bild: Golem.de/CC0 1.0)

Bösartige Webseiten können die Autovervollständigen-Funktion einiger Browser missbrauchen, um unbemerkt an persönliche Nutzerdaten zu gelangen. Zum Schutz hilft offenbar nur, Autofill ganz abzuschalten oder den Browser zu wechseln.

Webseiten können die Autovervollständigung bei Browsern nutzen, um unbemerkt persönliche Daten abzugreifen. Grund für den möglichen Datenleak ist die - eigentlich bekannte - Tatsache, dass Browser wie Googles Chrome oder Apples Safari bei der Nutzung von Autofill automatisch alle auf einem Webformular zur Verfügung stehenden Felder ausfüllen. Und zwar unabhängig davon, ob die Felder für den Nutzer der Webseite sichtbar sind oder nicht.

Anzeige

Diesen Umstand machte sich der finnische Programmierer Viljami Kuosmanen zunutze und schrieb eine Demoseite (Code auf Github), bei der neben den sichtbaren Formularfeldern Name und E-Mail noch weitere Felder für Telefonnummer, Firma und Postanschrift versteckt sind. Mit der simplen HTML/CSS-Anweisung <p style="margin-left:-500px"></p> verschwinden die Felder aus dem Blickfeld des Nutzers, werden aber von den genannten Browsern offenbar dennoch ausgefüllt.

Nicht neu, aber ungelöst

Im Prinzip ist die Verwendung versteckter Felder nicht neu. Ähnlich wird sie beispielsweise für Honeypots eingesetzt, mit denen Formulare Spam-Bots einfangen können. "Das ist die gleiche Idee, nur dass ich echte Browser einfange statt Spam-Bots", schreibt Kuosmanen. Ein Ausnutzen in freier Wildbahn ist ihm bisher aber nicht bekannt.

Auf die Idee, versteckte Formularfelder für echtes Phishing zu verwenden, sei er eher zufällig gekommen. "Ich war genervt, dass mein Chrome-Browser beim Shoppen im Netz immer die falschen Felder ausfüllt. Also habe ich nachgeschaut, was Chrome alles über mich im Autofill gespeichert hat und war überrascht, wie viele Informationen da drin waren."

  • Demo für das Pishing über das Autofill unsichtbarer Formularfelder (Quelle: Viljami Kuosmanen/Screenshot: Golem.de)
  • Demo für das Pishing über das Autofill unsichtbarer Formularfelder (Quelle: Viljami Kuosmanen/Screenshot: Golem.de)
  • Demo für das Pishing über das Autofill unsichtbarer Formularfelder (Quelle: Viljami Kuosmanen/Screenshot: Golem.de)
Demo für das Pishing über das Autofill unsichtbarer Formularfelder (Quelle: Viljami Kuosmanen/Screenshot: Golem.de)

Für noch sensiblere Informationen wie Benutzernamen, Passwörter oder Kreditkartendaten besteht laut Kuosmanen keine Gefahr. Da gebe es in Browsern wie Chrome besondere Warnmeldungen für Nutzer. Bei den anderen persönlichen Daten sieht es offenbar schlechter aus.

Chrome problematisch, Firefox nicht betroffen

"Ich selbst habe nur Chrome und Safari getestet, weil ich die beiden Browser am meisten nutze", schreibt der Programmierer. "Safari macht seinen Job etwas besser, weil er Nutzern vorher zeigt, welche Informationen automatisch ausgefüllt werden." Wer da nicht genau hinschaue, bleibe aber auch bei Safari ungeschützt, denn "versteckte Felder werden am Ende dennoch ausgefüllt."

Nicht betroffen ist offenbar Mozillas Firefox, bei dem Autofill eher eine Vorschlagfunktion ist - und daher auch Autocomplete heißt. Klickt man in Firefox auf ein leeres Formularfeld, werden lediglich frühere Eingaben angezeigt, die Nutzer dann manuell auswählen können. Versteckte Felder bleiben so einfach leer.

Lösungen gibt es

Um das Problem zu umgehen, werden in Foren von "Autofill ganz abschalten" bis zu "Autofill-after-draw" bereits diverse Vorschläge diskutiert. Für Kuosmanen wäre die beste Lösung, dass Browser nur solche Formularfelder automatisch ausfüllen, die zuvor aktiv vom Nutzer angeklickt wurden. Im Prinzip also Mozillas Lösung für den Firefox. "Persönlich mag ich zwar auch Safaris Ansatz, den Nutzer zu informieren, welche Felder im Formular ausgefüllt werden, aber das wird wahrscheinlich von Nutzern zu einfach übersehen."


eye home zur Startseite
Vielfalt 09. Jan 2017

Danke!

nolonar 09. Jan 2017

IE (11) und Edge sind beide nicht betroffen. Genau wie in Firefox werden dort lediglich...

dschu 08. Jan 2017

Genau das ist ein XHR-Request...

User_x 07. Jan 2017

http://www.berliner-kurier.de/ratgeber/digital/fiese-masche-vorsicht-vor-lidl-gutscheinen...

LinuxMcBook 07. Jan 2017

Dabei kommt noch das Problem hinzu, dass viele Seiten die Unart haben, die Beschreibung...



Anzeige

Stellenmarkt
  1. fidelis HR GmbH, Neuss, Würzburg, Zwickau/Lichtentanne, Dreieich (Home-Office möglich)
  2. Robert Bosch GmbH, Abstatt
  3. redblue Marketing GmbH, Ingolstadt, München
  4. Techcos GmbH über ACADEMIC WORK, München


Anzeige
Top-Angebote
  1. 47,99€
  2. und For Honor oder Ghost Recon Wildlands kostenlos erhalten
  3. (-17%) 49,99€ - Release am Donnerstag

Folgen Sie uns
       


  1. Energielabels

    Aus A+++ wird nur noch A

  2. Update 1.2

    Gog.com-Client erhält Cloud-Speicheroption und fps-Zähler

  3. HTTPS

    US-Cert warnt vor Man-In-The-Middle-Boxen

  4. Datenrate

    Facebook und Nokia bringen Seekabel ans Limit

  5. Grafikkarte

    Zotac will die schnellste Geforce GTX 1080 Ti stellen

  6. Ab 2018

    Cebit findet künftig im Sommer statt

  7. Google

    Maps erlaubt Teilen des eigenen Standortes in Echtzeit

  8. Datengesetz geplant

    Halter sollen Eigentümer von Fahrzeugdaten werden

  9. Nintendo Switch

    Leitfähiger Schaumstoff löst Joy-Con-Probleme

  10. Stack Overflow

    Deutsche Entwickler fühlen sich unterbezahlt



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Buch - Apple intern: "Die behandeln uns wie Sklaven"
Buch - Apple intern
"Die behandeln uns wie Sklaven"
  1. Earbuds mit Sensor Apple beantragt Patent auf biometrische Kopfhörer
  2. Apple Park Apple bezieht das Raumschiff
  3. Klage gegen Steuernachzahlung Apple beruft sich auf europäische Grundrechte

Technik-Kritiker: Jaron Lanier will Facebook zerschlagen
Technik-Kritiker
Jaron Lanier will Facebook zerschlagen
  1. Facebook & Co Bis zu 50 Millionen Euro Geldbuße für Hasskommentare
  2. OCP Facebook rüstet das Rechenzentrum auf
  3. Social Media Facebook verbietet Datennutzung für Überwachung

Forensik Challenge: Lust auf eine Cyber-Stelle beim BND? Golem.de hilft!
Forensik Challenge
Lust auf eine Cyber-Stelle beim BND? Golem.de hilft!
  1. Reporter ohne Grenzen Verfassungsklage gegen BND-Überwachung eingereicht
  2. Selektorenaffäre BND soll ausländische Journalisten ausspioniert haben
  3. Ex-Verfassungsgerichtspräsident Papier Die Politik stellt sich beim BND-Gesetz taub

  1. Re: Vertrauen in die Menschheit

    Johnny Cache | 04:46

  2. Re: schöne Sache

    Sharra | 04:09

  3. Re: Ja und?

    kaliberx | 03:59

  4. Re: Problem erkannt, Problem wiederholt.

    topo | 03:57

  5. Macht das nicht fast jeder mit WhatsApp oder...

    ecv | 03:50


  1. 18:59

  2. 18:42

  3. 18:06

  4. 17:39

  5. 17:10

  6. 16:46

  7. 16:26

  8. 16:24


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel