Achtung: Dank Autofill-Funktion kann Chrome unbemerkt mehr Daten als gedacht übertragen

Vor einigen Tagen wurde bekannt, dass die Autofill-Funktion von Chrome in Verbindung mit einem kleinen Trick für Phishing eingesetzt werden kann.

Die Autofill-Funktion kann in Chrome, aber auch in anderen Browsern, eingesetzt werden, um Formulare automatisch mit Daten wie Name, Anschrift, Telefonnummer, E-Mail-Adresse und Kreditkarten-Informationen auszufüllen. Diese müssen hierzu vorab im Browser gewissermaßen als Identität hinterlegt werden.

Sobald Chrome dann ein Formular und darin passende Felder entdeckt, kann der Browser diese automatisch ausfüllen. Problem hierbei ist, dass auch Felder ausfüllt werden, die für den Nutzer nicht sichtbar sind. Ein Beispiel:

Hier wurden diverse Felder u.a. für Anschrift und Kreditkarten-Informationen links außerhalb des Bildschirms platziert (via margin-left: -500px;). Ein GIF unter github.com zeigt sehr schön, wie Chrome scheinbar nur die sichtbaren Felder für Name und E-Mail-Adresse, tatsächlich aber auch die unsichtbaren Felder ausfüllt und alle Daten des Formulars beim Abschicken übermittelt werden.

In dieser Schwere vom Problem betroffen ist nur Chrome (sowie darauf basierende Browser). In Firefox muss jedes Feld einzeln mit Daten befüllt werden. In Safari wird dem Nutzer vor dem automatischen Ausfüllen aller Felder angezeigt, welche Informationen dabei eingefügt werden.

Dass die Umsetzung in Chrome problematisch ist, ist den Entwicklern mindestens seit 2012 bekannt, denn damals wurde ein Bug dazu eingereicht: bugs.chromium.org. Bis heute hat sich jedoch kaum etwas daran getan.

Eine Demo des Problems inklusive zusätzlicher Informationen findet man unter github.com. Wer als Nutzer auf Nummer sicher gehen will, der kann auf die Autofill-Funktion verzichten, diese deaktivieren und/oder abgespeicherte Identitäten löschen (Einstellungen > "Erweiterte Einstellungen anzeigen" > "Passwörter und Formulare").