Если вы похожи на большинство людей, вы полагаетесь на автозаполнение браузера при заполнении надоедливых веб-форм. Функция автозаполнения браузера автоматически заполняет ваши данные в поля веб-форм на основе информации, которую вы ранее ввели в эти поля.
Плохая новость заключается в том, что злонамеренные третьи лица и хакеры могут использовать эту функцию автозаполнения в браузерах, чтобы обманом заставить вас раскрыть вашу конфиденциальную информацию. Хакер из Финляндии Вильями Куосманен, который также является веб-разработчиком, показал в своем Демо на GitHub , что злоумышленники могут перехватить функцию автозаполнения в плагинах, менеджерах паролей (и подобных инструментах) и браузерах.
Задолго до Куосманена аналитик по безопасности ElevenPaths Рикардо Мартин Родригес обнаружил эту уязвимость автозаполнения браузерав 2013 году. Google до сих пор не нашел решения этой уязвимости.
Неосознанная утечка конфиденциальной информации
На демонстрационном веб-сайте Куосманена вы увидите простую веб-форму, состоящую всего из двух полей — имени и адреса электронной почты. Однако в форме есть много скрытых (т. е. вне поля зрения) полей; эти скрытые поля включают адрес, организацию, номер телефона, город, почтовый индекс и страну.
В форме, подобной приведенной выше, вы увидите только поля имени и адреса электронной почты, но ваша функция автозаполнения автоматически заполнит ваши данные в остальных полях. Фишинговая веб-форма, подобная прив
Contents
Неосознанная утечка конфиденциальной информации
можете себе представить, когда вы нажимаете кнопку «Отправить».Чтобы протестировать функции автозаполнения вашего браузера и расширений, вы можете использовать тестовый сайт, созданный Куосманеном. Отправляя форму, я заметил, что она собрала больше информации, чем я дал. Для этого теста я использовал последнюю версию Mozilla Firefox и был поражен тем, сколько информации я выдал.
В Chrome при автозаполнении финансовых данных отображается предупреждение для сайты без HTTPS . По моему опыту, форма Куосманена пыталась собрать дату заполнения формы, мой адрес, номер моей кредитной карты, CVV, дату истечения срока действия кредитной карты, мой город, страну, адрес электронной почты, имя, организацию, телефон и почтовый индекс.
Форма даже попыталась собрать некоторые метаданные о типе моего браузера, моем текущем IP-адресе и многом другом. Смотрите мой скриншот ниже.
Apple Safari, Google Chrome и Opera оказались уязвимыми во время теста атаки Куосманена.
В январе 2017 года Дэниел Ведиц, главный инженер по безопасности Mozilla, заявил, что браузеры Firefox нельзя обмануть, заставив их программно заполнять текстовые поля. Пользователи Firefox защищены от атак автозаполнения браузера (по крайней мере, на данный момент), поскольку в браузере нет системы автозаполнения нескольких полей. Браузер Mozilla Firefox требует от пользователей вручную выбирать предварительно заполненные данные для каждого текстового поля в веб-форме.
Вывод: отключите функцию автозаполнения в браузере
Самая простая мера предосторожности против фишинговых атак — отключить функцию автозаполнения форм в браузере, настройках расширения или менеджере паролей. Функция автозаполнения в вашем браузере включена по умолчанию.
Чтобы отключить автозаполнение в Chrome:
1. Зайдите в «Настройки» браузера.
2. Найдите «Дополнительные настройки» внизу страницы.
3. В разделе «Пароли и формы» снимите флажок «Включить автозаполнение».
Чтобы отключить автозаполнение в Opera:
1. Зайдите в настройки.
2. Перейдите в «Автозаполнение» и отключите его.
Чтобы отключить автозаполнение в Safari:
1. Перейдите в «Настройки».
2. Нажмите «Автозаполнение», чтобы отключить его.
Если вы нашли этот пост полезным, нажмите «Да» ниже. Мы также будем рады вашим комментариям.
