Vor einigen Tagen wurde bekannt, dass die Autofill-Funktion von Chrome in Verbindung mit einem kleinen Trick für Phishing eingesetzt werden kann.

Die Autofill-Funktion kann in Chrome, aber auch in anderen Browsern, eingesetzt werden, um Formulare automatisch mit Daten wie Name, Anschrift, Telefonnummer, E-Mail-Adresse und Kreditkarten-Informationen auszufüllen. Diese müssen hierzu vorab im Browser gewissermaßen als Identität hinterlegt werden.

Sobald Chrome dann ein Formular und darin passende Felder entdeckt, kann der Browser diese automatisch ausfüllen. Problem hierbei ist, dass auch Felder ausfüllt werden, die für den Nutzer nicht sichtbar sind. Ein Beispiel:

Beispiel: Autofill-Phishing in Chrome

Hier wurden diverse Felder u.a. für Anschrift und Kreditkarten-Informationen links außerhalb des Bildschirms platziert (via margin-left: -500px;). Ein GIF unter github.com zeigt sehr schön, wie Chrome scheinbar nur die sichtbaren Felder für Name und E-Mail-Adresse, tatsächlich aber auch die unsichtbaren Felder ausfüllt und alle Daten des Formulars beim Abschicken übermittelt werden.

Werbung

Werbeblocker aktiv?

Vermutlich aufgrund eines Werbeblockers kann an dieser Stelle leider keine Werbung angezeigt werden. Als Blog ist diese Website jedoch darauf angewiesen, um diverse Kosten abdecken zu können.

Vielleicht möchtest du Servaholics ja in deinem Werbeblocker als Ausnahme hinzufügen und so unterstützen? Das wäre jedenfalls sehr nett! :-)

In dieser Schwere vom Problem betroffen ist nur Chrome (sowie darauf basierende Browser). In Firefox muss jedes Feld einzeln mit Daten befüllt werden. In Safari wird dem Nutzer vor dem automatischen Ausfüllen aller Felder angezeigt, welche Informationen dabei eingefügt werden.

Dass die Umsetzung in Chrome problematisch ist, ist den Entwicklern mindestens seit 2012 bekannt, denn damals wurde ein Bug dazu eingereicht: bugs.chromium.org. Bis heute hat sich jedoch kaum etwas daran getan.

Eine Demo des Problems inklusive zusätzlicher Informationen findet man unter github.com. Wer als Nutzer auf Nummer sicher gehen will, der kann auf die Autofill-Funktion verzichten, diese deaktivieren und/oder abgespeicherte Identitäten löschen (Einstellungen > "Erweiterte Einstellungen anzeigen" > "Passwörter und Formulare").

Dieser Artikel beschäftigt sich u.a. mit dem Thema "Phishing".
Sollte dich dieses Thema interessieren, so kannst du gerne die Sonderseite "Phishing, Malware & Spam", auf der stets über aktuelle Bedrohungen berichtet wird, besuchen und ggf. abonnieren.

Jetzt bist du dran: Was denkst du?

Bitte beachte: Auch wenn das Angeben einer E-Mail-Adresse optional ist, so bist du doch nicht vollständig anonym, denn u.a. deine IP-Adresse wird mit dem Absenden dieses Formulars gespeichert.



Tastenkürzel


Überall

j: Älterer Artikel

k: Neuerer Artikel

s: Suchen

h: Hilfe


Auf Artikel-Seiten

t: Auf Twitter posten

f: Auf Facebook posten

g: Auf Google+ posten