Browser-Autofill-Funktion für Phishing-Attacken nutzbar

Die Autofill-Funktion erlaubt eine neue Form von Phishing-Angriffen. Eine entsprechend präparierte Webseite kann Browser und Erweiterungen wie LastPass dazu bringen, sensible Autofill-Formulardaten zu verraten, ohne dass der Benutzer etwas davon mitbekommt. Das können Name und Anschrift, Unternehmen, Telefonnummer, E-Mail-Adresse und sogar Kreditkartendaten sein.

Enthüllt und mit einem Exploit bewiesen hat es der finnische Entwickler und Hacker Viljami Kuosmanen. „Das ist der Grund, warum ich Autofill in Webformularen nicht mag“, kommentiert er eine bei Twitter eingestellte Animation, mit der er das Abgreifen von Daten zeigt. Außerdem hat er Code auf GitHub veröffentlicht und eine interaktive Demoseite eingerichtet.

Die Methode ist überraschend einfach. Wie Kuosmanen herausfand, platziert Autofill gespeicherte Informationen nicht nur in sichtbaren Textboxen, sondern auch in solche, die auf einer Webseite gar nicht zu sehen sind. Listige Angreifer können daher einfache Felder wie Name und E-Mail-Adresse anzeigen, aber nebenbei auch weitere Daten mit Hilfe von unsichtbaren Textboxen absaugen. Voraussetzung ist lediglich, dass einige Informationen bewusst preisgegeben werden.

Autofill gibt weitere Daten an unsichtbare Textboxen ab (Screenshot: ZDNet.de).

Anfällig für solche Phishing-Angriffe sind laut Kuosmanen etwa Chrome, Safari, Opera, aber auch einige Plug-ins und Erweiterungen wie LastPass. Safari hält er immerhin zugute, dass es über die in ein Formular eingebrachten Daten informiert, selbst wenn sie für den Nutzer nicht sichtbar sind. Praktisch nicht gefährdet ist Firefox, bei dem in jedem einzelnen Eingabefeld der einzufügende Inhalt auszuwählen ist.

Besonders locker mit sensiblen Daten geht die standardmäßig aktivierte Autofill-Funktion von Chrome um, die dem Nutzer das Leben erleichtern soll. „Sie können bei der Eingabe von Kaufinformationen Zeit sparen, indem Sie Kreditkarteninformationen mithilfe der Autofill-Funktion in Chrome speichern“, empfiehlt Googles Chrome-Hilfe. Ist ein Anwender in Chrome angemeldet, werden in Webformularen außerdem in Google Payments gespeicherte Karten und Adressen angezeigt – andererseits können in Google Payments gespeicherte Einträge nicht aus Autofill gelöscht werden. Umgekehrt werden aber in Autofill gespeicherte Kreditkarten auch in Google Payments gespeichert, solange nicht die Option „Synchronisierung“ deaktiviert ist.

Wer sensible Daten nicht so einfach preisgeben möchte, sollte daher Autofill in Chrome deaktivieren. Der Weg dorthin führt im geöffneten Chrome-Browser über das Symbol „Mehr“ und Einstellungen, um dann unten mit einem Klick die Erweiterten Einstellungen sichtbar zu machen. Dort ist unter „Passwörter und Formulare“ schließlich das Häkchen zu entfernen neben „Autofill aktivieren, um Webformulare mit nur einem Klick ausfüllen zu können“.