Unsichtbare Eingabefelder auf Webseiten tricksen Autofill-Funktion von Browsern aus

Der finnische Entwickler Viljami Kuosmanen hat bei Twitter eine Animation veröffentlicht, in der er zeigt, wie einfach sich die Autofill-Funktion von Browser austricksen lässt, um private Daten abzugreifen. Um seine Erkenntnisse darzulegen hat Kuosmanen zudem Code auf GitHub bereitgestellt und eine interaktive Demoseite eingerichtet.

Laut Kuosmanen trägt Autofill gespeicherte Daten nicht nur in sichtbaren Textboxen ein, sondern auch Eingabefeldern, die für den menschlichen Besucher einer Webseite nicht zu sehen sind. Angreifer können daher Felder anlegen, in die zum Beispiel der Name, die E-Mail-Adresse oder auch Kreditkarteninformationen einzutragen sind und bekommen diese Daten dann, ohne dass der Nutzer sie eingeben will. Damit das funktioniert, muss der Besucher der Website lediglich dazu gebracht werden, andere, von ihm als unverdächtig erachtete Informationen in eine sichtbare Textbox einzugeben.

Autofill gibt bei Eingabe einiger Informationen weitere Daten in unsichtbare Textboxen ein (Screenshot: ZDNet.de).

Derartige Phishing-Angriffe funktionieren laut Kuosmanen unter anderem bei Chrome, Safari, Opera sowie bei einige Plug-ins und Erweiterungen, darunter zum Beispiel LastPass. Safari informiert immerhin über die in ein unsichtbares Formular eingetragenen Daten. Keine Gefahr besteht bei Firefox, da dort vom Nutzer in jedem Eingabefeld der einzufügende Inhalt ausgewählt werden muss.

Mehr zum Thema

IBM und IoT – Alles dreht sich um Watson

Bei IBM dreht sich das gesamte IoT-Geschäft um die kognitive Plattform Watson IoT. Sie soll zusammen mit Bluemix, einer Art Cloud-Service-Baukasten, die unterschiedlichsten analytischen Dienste und Anwendungen ermöglichen.

Wie so oft ist das Produkt, das es seinen Nutzern am bequemsten machen will, auch diesmal das unsicherste. Die bei Chrome standardmäßig aktivierte Autofill-Funktion ist am großzügigsten mit Daten. Bedenklich ist das auch deshalb, weil Google ausdrücklich empfiehlt, vertrauliche Daten damit einzugeben: “Sie können bei der Eingabe von Kaufinformationen Zeit sparen, indem Sie Kreditkarteninformationen mithilfe der Autofill-Funktion in Chrome speichern”, heißt es etwa in der Chrome-Hilfe. Ist der Nutzer bei Chrome angemeldet, werden zudem in Webformulare in Google Payments gespeicherte Karten und Adressen angezeigt. Zudem können die in Google Payments gespeicherten Einträge aus Autofill nicht entfernt werden. In Autofill gespeicherte Kreditkarten werden nur dann nicht in Google Payments gespeichert, wenn die Option “Synchronisierung” deaktiviert ist.

Um Autofill in Chrome zu deaktivieren muss im geöffneten Chrome-Browser das Symbol “Mehr” und dann Einstellungen aufgerufen werden. Dann können unten mit einem Klick die “Erweiterten Einstellungen” angezeigt werden. Dort lässt sich dann unter “Passwörter und Formulare” das Häkchen neben “Autofill aktivieren, um Webformulare mit nur einem Klick ausfüllen zu können” entfernen.

[mit Material von Bernd Kling, ZDNet.de]

Redaktion

Recent Posts

Cybersicherheitstrends im Finanzsektor

Kaspersky-Studie sieht neue Risiken durch das Aufkommen quantensicherer Ransomware und verstärkte Angriffe auf mobile Endgeräte.

11 Stunden ago

Cequence: Hacker nehmen APIs zunehmend ins Visier

Trends 2025: Third-Party-API-Monitoring, generative KI für mehr API-Sicherheit und Architekten für Geschäftsresilienz.

13 Stunden ago

Forescout: Bedrohungslandschaft wird komplexer und vielschichtiger

Trends 2025: „Grassroots“-Hacktivismus, „unsichtbare“ Firmware-Bedrohungen und Gelddiebstahl im Schlaf.

13 Stunden ago

Industrielles Metaversum: Studie sieht wachsenden Zuspruch

62 Prozent der Unternehmen erhöhen ihre Investitionen. Gerade auch mittelständische Betriebe bauen Etats jetzt spürbar…

14 Stunden ago

Blockchain: Deutsche Unternehmen bleiben desinteressiert

Das transformative Potenzial der Blockchain scheint die deutschen Unternehmen kalt zu lassen. Denn laut der…

14 Stunden ago

Moorschutz mit Drohnen und KI

Forschende entwickeln eine Monitoring-Plattform, auf der Drohnenbilder mit zahlreichen weiteren Daten angereichert und ausgewertet werden.

17 Stunden ago