Browser-Autofill-Funktion für Phishing-Attacken nutzbar

Eine präparierte Webseite kann Browsern und Erweiterungen wie LastPass sensible Autofill-Formulardaten entlocken. Das können persönliche Adressdaten ebenso wie Kreditkarteninformationen sein. Autofill liefert gespeicherte Daten auch an Textboxen, die der Nutzer nicht sieht.

Die Autofill-Funktion erlaubt eine neue Form von Phishing-Angriffen. Eine entsprechend präparierte Webseite kann Browser und Erweiterungen wie LastPass dazu bringen, sensible Autofill-Formulardaten zu verraten, ohne dass der Benutzer etwas davon mitbekommt. Das können Name und Anschrift, Unternehmen, Telefonnummer, E-Mail-Adresse und sogar Kreditkartendaten sein.

Phishing (Bild: Shutterstock)

Enthüllt und mit einem Exploit bewiesen hat es der finnische Entwickler und Hacker Viljami Kuosmanen. „Das ist der Grund, warum ich Autofill in Webformularen nicht mag“, kommentiert er eine bei Twitter eingestellte Animation, mit der er das Abgreifen von Daten zeigt. Außerdem hat er Code auf GitHub veröffentlicht und eine interaktive Demoseite eingerichtet.

Die Methode ist überraschend einfach. Wie Kuosmanen herausfand, platziert Autofill gespeicherte Informationen nicht nur in sichtbaren Textboxen, sondern auch in solche, die auf einer Webseite gar nicht zu sehen sind. Listige Angreifer können daher einfache Felder wie Name und E-Mail-Adresse anzeigen, aber nebenbei auch weitere Daten mit Hilfe von unsichtbaren Textboxen absaugen. Voraussetzung ist lediglich, dass einige Informationen bewusst preisgegeben werden.

Autofill gibt weitere Daten an unsichtbare Textboxen ab (Screenshot: ZDNet.de).Autofill gibt weitere Daten an unsichtbare Textboxen ab (Screenshot: ZDNet.de).

Anfällig für solche Phishing-Angriffe sind laut Kuosmanen etwa Chrome, Safari, Opera, aber auch einige Plug-ins und Erweiterungen wie LastPass. Safari hält er immerhin zugute, dass es über die in ein Formular eingebrachten Daten informiert, selbst wenn sie für den Nutzer nicht sichtbar sind. Praktisch nicht gefährdet ist Firefox, bei dem in jedem einzelnen Eingabefeld der einzufügende Inhalt auszuwählen ist.

Umfrage

Welchen Stellenwert hat Nachhaltigkeit für IT-Anschaffungen Ihres Unternehmens?

Ergebnisse anzeigen

Loading ... Loading ...

Besonders locker mit sensiblen Daten geht die standardmäßig aktivierte Autofill-Funktion von Chrome um, die dem Nutzer das Leben erleichtern soll. „Sie können bei der Eingabe von Kaufinformationen Zeit sparen, indem Sie Kreditkarteninformationen mithilfe der Autofill-Funktion in Chrome speichern“, empfiehlt Googles Chrome-Hilfe. Ist ein Anwender in Chrome angemeldet, werden in Webformularen außerdem in Google Payments gespeicherte Karten und Adressen angezeigt – andererseits können in Google Payments gespeicherte Einträge nicht aus Autofill gelöscht werden. Umgekehrt werden aber in Autofill gespeicherte Kreditkarten auch in Google Payments gespeichert, solange nicht die Option „Synchronisierung“ deaktiviert ist.

Wer sensible Daten nicht so einfach preisgeben möchte, sollte daher Autofill in Chrome deaktivieren. Der Weg dorthin führt im geöffneten Chrome-Browser über das Symbol „Mehr“ und Einstellungen, um dann unten mit einem Klick die Erweiterten Einstellungen sichtbar zu machen. Dort ist unter „Passwörter und Formulare“ schließlich das Häkchen zu entfernen neben „Autofill aktivieren, um Webformulare mit nur einem Klick ausfüllen zu können“.

WEBINAR

Von Software Defined bis Composable – Neue Architekturansätze im Datacenter

Im Audio-Webinar am 5. Juli 2017 um 11 Uhr erläutert Florian Bettges von HPE wie Unternehmen von hybriden IT-Konzepten profitieren können. Dabei geht er auf die Vorteile der einzelnen Ansätze ein und stellt Konzepte vor, wie die unterschiedlichen Ansätze in Zukunft in hybriden IT-Konzepten ineinander fließen.

Themenseiten: Browser, Chrome, Datenschutz, Google, Phishing, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Browser-Autofill-Funktion für Phishing-Attacken nutzbar

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *