Browser: Autofill-Funktion ermöglicht begrenztes Phishing

Bösartige Webseiten können die Autovervollständigen-Funktion einiger Browser missbrauchen, um unbemerkt an persönliche Nutzerdaten zu gelangen. Zum Schutz hilft offenbar nur, Autofill ganz abzuschalten oder den Browser zu wechseln.

Artikel veröffentlicht am ,
Demoseite von Viljami Kuosmanen
Demoseite von Viljami Kuosmanen (Bild: Golem.de/CC0 1.0)

Webseiten können die Autovervollständigung bei Browsern nutzen, um unbemerkt persönliche Daten abzugreifen. Grund für den möglichen Datenleak ist die - eigentlich bekannte - Tatsache, dass Browser wie Googles Chrome oder Apples Safari bei der Nutzung von Autofill automatisch alle auf einem Webformular zur Verfügung stehenden Felder ausfüllen. Und zwar unabhängig davon, ob die Felder für den Nutzer der Webseite sichtbar sind oder nicht.

Stellenmarkt
  1. Referent (w/m/d) Kommunikationstechnik
    Deutscher Bundestag, Berlin
  2. Projektleiter Digitale Transformation (m/w/d)
    Melitta Gruppe, Minden
Detailsuche

Diesen Umstand machte sich der finnische Programmierer Viljami Kuosmanen zunutze und schrieb eine Demoseite (Code auf Github), bei der neben den sichtbaren Formularfeldern Name und E-Mail noch weitere Felder für Telefonnummer, Firma und Postanschrift versteckt sind. Mit der simplen HTML/CSS-Anweisung <p style="margin-left:-500px"></p> verschwinden die Felder aus dem Blickfeld des Nutzers, werden aber von den genannten Browsern offenbar dennoch ausgefüllt.

Nicht neu, aber ungelöst

Im Prinzip ist die Verwendung versteckter Felder nicht neu. Ähnlich wird sie beispielsweise für Honeypots eingesetzt, mit denen Formulare Spam-Bots einfangen können. "Das ist die gleiche Idee, nur dass ich echte Browser einfange statt Spam-Bots", schreibt Kuosmanen. Ein Ausnutzen in freier Wildbahn ist ihm bisher aber nicht bekannt.

Auf die Idee, versteckte Formularfelder für echtes Phishing zu verwenden, sei er eher zufällig gekommen. "Ich war genervt, dass mein Chrome-Browser beim Shoppen im Netz immer die falschen Felder ausfüllt. Also habe ich nachgeschaut, was Chrome alles über mich im Autofill gespeichert hat und war überrascht, wie viele Informationen da drin waren."

  • Demo für das Pishing über das Autofill unsichtbarer Formularfelder (Quelle: Viljami Kuosmanen/Screenshot: Golem.de)
  • Demo für das Pishing über das Autofill unsichtbarer Formularfelder (Quelle: Viljami Kuosmanen/Screenshot: Golem.de)
  • Demo für das Pishing über das Autofill unsichtbarer Formularfelder (Quelle: Viljami Kuosmanen/Screenshot: Golem.de)
Demo für das Pishing über das Autofill unsichtbarer Formularfelder (Quelle: Viljami Kuosmanen/Screenshot: Golem.de)
Golem Akademie
  1. IT-Fachseminare der Golem Akademie
    Live-Workshops zu Schlüsselqualifikationen
  2. 1:1-Videocoaching mit Golem Shifoo
    Berufliche Herausforderungen meistern
  3. Online-Sprachkurse mit Golem & Gymglish
    Kurze Lektionen, die funktionieren
Weitere IT-Trainings

Für noch sensiblere Informationen wie Benutzernamen, Passwörter oder Kreditkartendaten besteht laut Kuosmanen keine Gefahr. Da gebe es in Browsern wie Chrome besondere Warnmeldungen für Nutzer. Bei den anderen persönlichen Daten sieht es offenbar schlechter aus.

Chrome problematisch, Firefox nicht betroffen

"Ich selbst habe nur Chrome und Safari getestet, weil ich die beiden Browser am meisten nutze", schreibt der Programmierer. "Safari macht seinen Job etwas besser, weil er Nutzern vorher zeigt, welche Informationen automatisch ausgefüllt werden." Wer da nicht genau hinschaue, bleibe aber auch bei Safari ungeschützt, denn "versteckte Felder werden am Ende dennoch ausgefüllt."

Nicht betroffen ist offenbar Mozillas Firefox, bei dem Autofill eher eine Vorschlagfunktion ist - und daher auch Autocomplete heißt. Klickt man in Firefox auf ein leeres Formularfeld, werden lediglich frühere Eingaben angezeigt, die Nutzer dann manuell auswählen können. Versteckte Felder bleiben so einfach leer.

Lösungen gibt es

Um das Problem zu umgehen, werden in Foren von "Autofill ganz abschalten" bis zu "Autofill-after-draw" bereits diverse Vorschläge diskutiert. Für Kuosmanen wäre die beste Lösung, dass Browser nur solche Formularfelder automatisch ausfüllen, die zuvor aktiv vom Nutzer angeklickt wurden. Im Prinzip also Mozillas Lösung für den Firefox. "Persönlich mag ich zwar auch Safaris Ansatz, den Nutzer zu informieren, welche Felder im Formular ausgefüllt werden, aber das wird wahrscheinlich von Nutzern zu einfach übersehen."

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Apple
Macbook-Nutzer berichten über gesprungene Displays

Zahlreiche Besitzer von Macbooks mit M1-Chip berichten über plötzlich gesprungene Displays - Apple geht von Fremdverschulden aus.

Apple: Macbook-Nutzer berichten über gesprungene Displays
Artikel
  1. Gesetz tritt in Kraft: Die Uploadfilter sind da
    Gesetz tritt in Kraft
    Die Uploadfilter sind da

    Ab sofort haften große Plattformen für die Uploads ihrer Nutzer. Zu mehr Lizenzvereinbarungen hat das bei der Gema noch nicht geführt.
    Ein Bericht von Friedhelm Greis

  2. Mercedes-Benz: Daimler rechnet mit Abbau von Arbeitsplätzen durch E-Autos
    Mercedes-Benz
    Daimler rechnet mit Abbau von Arbeitsplätzen durch E-Autos

    Mehr Elektroautos bei Daimler bedeuten nach Ansicht der Chefetage weniger Arbeitsplätze. Grund sei der einfachere Einbau eines Elektromotors.

  3. VW, BMW, Daimler: Jedes sechste Elektroauto ist von deutschem Hersteller
    VW, BMW, Daimler
    Jedes sechste Elektroauto ist von deutschem Hersteller

    Das Elektroauto gewinnt an Fahrt bei den deutschen Herstellern und Autokäufern. Bei Angebot und Nachfrage dominiert China.

Vielfalt 09. Jan 2017

Danke!

Anonymer Nutzer 09. Jan 2017

IE (11) und Edge sind beide nicht betroffen. Genau wie in Firefox werden dort lediglich...

dschu 08. Jan 2017

Genau das ist ein XHR-Request...

User_x 07. Jan 2017

http://www.berliner-kurier.de/ratgeber/digital/fiese-masche-vorsicht-vor-lidl-gutscheinen...

LinuxMcBook 07. Jan 2017

Dabei kommt noch das Problem hinzu, dass viele Seiten die Unart haben, die Beschreibung...



Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Acer XB323UGP (WQHD, 170Hz) 580,43€ • Acer XV340CKP (UWQHD, 144 Hz) 465,78€ • Razer BlackShark V2 + Base Station V2 Chroma 94,98€ • Mega-Marken-Sparen bei MM • Saturn: 1 Produkt zahlen, 2 erhalten • Alternate (u. a. AKRacing Core EX-Wide SE 248,99€) • Fallout 4 GOTY 9,99€ [Werbung]
    •  /