Unsichtbare Eingabefelder auf Webseiten tricksen Autofill-Funktion von Browsern aus

Phishing (Bild: Shutterstock/Shamleen)

Dadurch können Kriminelle alleine mittels einer entsprechend gestalteten Webseite persönliche Daten abgreifen. Die eigentlich zur bequemern Nutzung diverser Browser-Erweiterungen gedachte Autofill-Funktion wird so zum unkalkulierbaren Sicherheitsrisiko durch das Benutzernamen, Adressdaten oder Kreditkarteninformationen in die falschen Hände geraten.

Der finnische Entwickler Viljami Kuosmanen hat bei Twitter eine Animation veröffentlicht, in der er zeigt, wie einfach sich die Autofill-Funktion von Browser austricksen lässt, um private Daten abzugreifen. Um seine Erkenntnisse darzulegen hat Kuosmanen zudem Code auf GitHub bereitgestellt und eine interaktive Demoseite eingerichtet.

Laut Kuosmanen trägt Autofill gespeicherte Daten nicht nur in sichtbaren Textboxen ein, sondern auch Eingabefeldern, die für den menschlichen Besucher einer Webseite nicht zu sehen sind. Angreifer können daher Felder anlegen, in die zum Beispiel der Name, die E-Mail-Adresse oder auch Kreditkarteninformationen einzutragen sind und bekommen diese Daten dann, ohne dass der Nutzer sie eingeben will. Damit das funktioniert, muss der Besucher der Website lediglich dazu gebracht werden, andere, von ihm als unverdächtig erachtete Informationen in eine sichtbare Textbox einzugeben.

 Autofill gibt bei Eingabe einiger Informationen weitere Daten in unsichtbare Textboxen ein (Screenshot: ZDNet.de).
Autofill gibt bei Eingabe einiger Informationen weitere Daten in unsichtbare Textboxen ein (Screenshot: ZDNet.de).

Derartige Phishing-Angriffe funktionieren laut Kuosmanen unter anderem bei Chrome, Safari, Opera sowie bei einige Plug-ins und Erweiterungen, darunter zum Beispiel LastPass. Safari informiert immerhin über die in ein unsichtbares Formular eingetragenen Daten. Keine Gefahr besteht bei Firefox, da dort vom Nutzer in jedem Eingabefeld der einzufügende Inhalt ausgewählt werden muss.

Mehr zum Thema

IBM und IoT – Alles dreht sich um Watson

Bei IBM dreht sich das gesamte IoT-Geschäft um die kognitive Plattform Watson IoT. Sie soll zusammen mit Bluemix, einer Art Cloud-Service-Baukasten, die unterschiedlichsten analytischen Dienste und Anwendungen ermöglichen.

Wie so oft ist das Produkt, das es seinen Nutzern am bequemsten machen will, auch diesmal das unsicherste. Die bei Chrome standardmäßig aktivierte Autofill-Funktion ist am großzügigsten mit Daten. Bedenklich ist das auch deshalb, weil Google ausdrücklich empfiehlt, vertrauliche Daten damit einzugeben: “Sie können bei der Eingabe von Kaufinformationen Zeit sparen, indem Sie Kreditkarteninformationen mithilfe der Autofill-Funktion in Chrome speichern”, heißt es etwa in der Chrome-Hilfe. Ist der Nutzer bei Chrome angemeldet, werden zudem in Webformulare in Google Payments gespeicherte Karten und Adressen angezeigt. Zudem können die in Google Payments gespeicherten Einträge aus Autofill nicht entfernt werden. In Autofill gespeicherte Kreditkarten werden nur dann nicht in Google Payments gespeichert, wenn die Option “Synchronisierung” deaktiviert ist.

Um Autofill in Chrome zu deaktivieren muss im geöffneten Chrome-Browser das Symbol “Mehr” und dann Einstellungen aufgerufen werden. Dann können unten mit einem Klick die “Erweiterten Einstellungen” angezeigt werden. Dort lässt sich dann unter “Passwörter und Formulare” das Häkchen neben “Autofill aktivieren, um Webformulare mit nur einem Klick ausfüllen zu können” entfernen.

[mit Material von Bernd Kling, ZDNet.de]