Die Autofill-Funktion erlaubt eine neue Form von Phishing-Angriffen. Eine entsprechend präparierte Webseite kann Browser und Erweiterungen wie LastPass dazu bringen, sensible Autofill-Formulardaten zu verraten, ohne dass der Benutzer etwas davon mitbekommt. Das können Name und Anschrift, Unternehmen, Telefonnummer, E-Mail-Adresse und sogar Kreditkartendaten sein.
Enthüllt und mit einem Exploit bewiesen hat es der finnische Entwickler und Hacker Viljami Kuosmanen. „Das ist der Grund, warum ich Autofill in Webformularen nicht mag“, kommentiert er eine bei Twitter eingestellte Animation, mit der er das Abgreifen von Daten zeigt. Außerdem hat er Code auf GitHub veröffentlicht und eine interaktive Demoseite eingerichtet.
Die Methode ist überraschend einfach. Wie Kuosmanen herausfand, platziert Autofill gespeicherte Informationen nicht nur in sichtbaren Textboxen, sondern auch in solche, die auf einer Webseite gar nicht zu sehen sind. Listige Angreifer können daher einfache Felder wie Name und E-Mail-Adresse anzeigen, aber nebenbei auch weitere Daten mit Hilfe von unsichtbaren Textboxen absaugen. Voraussetzung ist lediglich, dass einige Informationen bewusst preisgegeben werden.
Anfällig für solche Phishing-Angriffe sind laut Kuosmanen etwa Chrome, Safari, Opera, aber auch einige Plug-ins und Erweiterungen wie LastPass. Safari hält er immerhin zugute, dass es über die in ein Formular eingebrachten Daten informiert, selbst wenn sie für den Nutzer nicht sichtbar sind. Praktisch nicht gefährdet ist Firefox, bei dem in jedem einzelnen Eingabefeld der einzufügende Inhalt auszuwählen ist.
Besonders locker mit sensiblen Daten geht die standardmäßig aktivierte Autofill-Funktion von Chrome um, die dem Nutzer das Leben erleichtern soll. „Sie können bei der Eingabe von Kaufinformationen Zeit sparen, indem Sie Kreditkarteninformationen mithilfe der Autofill-Funktion in Chrome speichern“, empfiehlt Googles Chrome-Hilfe. Ist ein Anwender in Chrome angemeldet, werden in Webformularen außerdem in Google Payments gespeicherte Karten und Adressen angezeigt – andererseits können in Google Payments gespeicherte Einträge nicht aus Autofill gelöscht werden. Umgekehrt werden aber in Autofill gespeicherte Kreditkarten auch in Google Payments gespeichert, solange nicht die Option „Synchronisierung“ deaktiviert ist.
Wer sensible Daten nicht so einfach preisgeben möchte, sollte daher Autofill in Chrome deaktivieren. Der Weg dorthin führt im geöffneten Chrome-Browser über das Symbol „Mehr“ und Einstellungen, um dann unten mit einem Klick die Erweiterten Einstellungen sichtbar zu machen. Dort ist unter „Passwörter und Formulare“ schließlich das Häkchen zu entfernen neben „Autofill aktivieren, um Webformulare mit nur einem Klick ausfüllen zu können“.
Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.
Sie erlaubt eine Remotecodeausführung außerhalb der Sandbox. Betroffen sind Chrome für Windows, macOS und Linux.
Probleme treten vor allem bei Nutzern von Outlook Web Access auf. Das optionale Hotfix-Update für…
Die Einladung zeigt einen zeichnenden Apple Pencil. Der wiederum deutet auf neue iPads hin. Es…
Die Richtlinie erhält 584 Ja-Stimmen und 3 Gegenstimmen. Das „Recht auf Reparatur“ beinhaltet unter bestimmten…
Die Tests basieren auf tatsächlich existierenden Sicherheitslücken. GPT-4 erreicht eine Erfolgsquote von 87 Prozent. Alle…
Vorstellung Im Jahr 2016 hat Marcus Krämer die Firma HostPress gegründet, da es zu diesem…
