Функция автозаполнения форм в браузерах угрожает безопасности данных

image

Теги: мошенничество, браузер, атака

Эксперт представил способ, позволяющий хакерам использовать функцию автозаполнения в преступных целях.

Большинство пользователей по-настоящему ненавидят вручную вводить логины и пароли в формы авторизации, особенно на мобильных устройствах. К счастью, в популярных браузерах существует функция автоматического заполнения, намного упрощающая процесс авторизации. Тем не менее, злоумышленники могут воспользоваться ею и обманным путем заставить жертву предоставить им свои данные.

Финский разработчик Вильями Куосманен (Viljami Kuosmanen) опубликовал на GitHub демо, показывающее, как атакующий может в своих целях воспользоваться функцией автозаполнения форм. Данный способ был впервые обнаружен еще в 2013 году исследователем из ElevenPaths Рикардо Мартином Родригесом (Ricardo Martin Rodriguez), однако Google до сих пор не решила проблему.

Представленный Коусманеном демо-сайт состоит из простой web-формы с двумя видимыми полями – для имени и электронного адреса. Остальные поля (для телефонного номера, названия организации, адреса, почтового индекса и пр.) скрыты от глаз пользователей. Когда жертва вводит свое имя и электронный адрес, невидимые для нее поля заполняются автоматически, и данные отправляются мошенникам. Злоумышленники могут также добавить скрытые поля для номера кредитной карты и другой платежной информации.

Атака работает для целого ряда популярных браузеров, таких как Google Chrome, Apple Safari и Opera, а также для приложения LastPass. Исключением является Mozilla Firefox, где пользователи должны все формы заполнять вручную. Однако злоумышленники все равно могут обманом заставить их ввести свои данные. 
Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.