Unsichtbare Eingabefelder auf Webseiten tricksen Autofill-Funktion von Browsern aus
Der finnische Entwickler Viljami Kuosmanen hat bei Twitter eine Animation veröffentlicht, in der er zeigt, wie einfach sich die Autofill-Funktion von Browser austricksen lässt, um private Daten abzugreifen. Um seine Erkenntnisse darzulegen hat Kuosmanen zudem Code auf GitHub bereitgestellt und eine interaktive Demoseite eingerichtet.
Laut Kuosmanen trägt Autofill gespeicherte Daten nicht nur in sichtbaren Textboxen ein, sondern auch Eingabefeldern, die für den menschlichen Besucher einer Webseite nicht zu sehen sind. Angreifer können daher Felder anlegen, in die zum Beispiel der Name, die E-Mail-Adresse oder auch Kreditkarteninformationen einzutragen sind und bekommen diese Daten dann, ohne dass der Nutzer sie eingeben will. Damit das funktioniert, muss der Besucher der Website lediglich dazu gebracht werden, andere, von ihm als unverdächtig erachtete Informationen in eine sichtbare Textbox einzugeben.
Derartige Phishing-Angriffe funktionieren laut Kuosmanen unter anderem bei Chrome, Safari, Opera sowie bei einige Plug-ins und Erweiterungen, darunter zum Beispiel LastPass. Safari informiert immerhin über die in ein unsichtbares Formular eingetragenen Daten. Keine Gefahr besteht bei Firefox, da dort vom Nutzer in jedem Eingabefeld der einzufügende Inhalt ausgewählt werden muss.
Bei IBM dreht sich das gesamte IoT-Geschäft um die kognitive Plattform Watson IoT. Sie soll zusammen mit Bluemix, einer Art Cloud-Service-Baukasten, die unterschiedlichsten analytischen Dienste und Anwendungen ermöglichen.
Wie so oft ist das Produkt, das es seinen Nutzern am bequemsten machen will, auch diesmal das unsicherste. Die bei Chrome standardmäßig aktivierte Autofill-Funktion ist am großzügigsten mit Daten. Bedenklich ist das auch deshalb, weil Google ausdrücklich empfiehlt, vertrauliche Daten damit einzugeben: “Sie können bei der Eingabe von Kaufinformationen Zeit sparen, indem Sie Kreditkarteninformationen mithilfe der Autofill-Funktion in Chrome speichern”, heißt es etwa in der Chrome-Hilfe. Ist der Nutzer bei Chrome angemeldet, werden zudem in Webformulare in Google Payments gespeicherte Karten und Adressen angezeigt. Zudem können die in Google Payments gespeicherten Einträge aus Autofill nicht entfernt werden. In Autofill gespeicherte Kreditkarten werden nur dann nicht in Google Payments gespeichert, wenn die Option “Synchronisierung” deaktiviert ist.
Um Autofill in Chrome zu deaktivieren muss im geöffneten Chrome-Browser das Symbol “Mehr” und dann Einstellungen aufgerufen werden. Dann können unten mit einem Klick die “Erweiterten Einstellungen” angezeigt werden. Dort lässt sich dann unter “Passwörter und Formulare” das Häkchen neben “Autofill aktivieren, um Webformulare mit nur einem Klick ausfüllen zu können” entfernen.