Die Autofill-Funktion erlaubt eine neue Form von Phishing-Angriffen. Eine entsprechend präparierte Webseite kann Browser und Erweiterungen wie LastPass dazu bringen, sensible Autofill-Formulardaten zu verraten, ohne dass der Benutzer etwas davon mitbekommt. Das können Name und Anschrift, Unternehmen, Telefonnummer, E-Mail-Adresse und sogar Kreditkartendaten sein.
Enthüllt und mit einem Exploit bewiesen hat es der finnische Entwickler und Hacker Viljami Kuosmanen. „Das ist der Grund, warum ich Autofill in Webformularen nicht mag“, kommentiert er eine bei Twitter eingestellte Animation, mit der er das Abgreifen von Daten zeigt. Außerdem hat er Code auf GitHub veröffentlicht und eine interaktive Demoseite eingerichtet.
Die Methode ist überraschend einfach. Wie Kuosmanen herausfand, platziert Autofill gespeicherte Informationen nicht nur in sichtbaren Textboxen, sondern auch in solche, die auf einer Webseite gar nicht zu sehen sind. Listige Angreifer können daher einfache Felder wie Name und E-Mail-Adresse anzeigen, aber nebenbei auch weitere Daten mit Hilfe von unsichtbaren Textboxen absaugen. Voraussetzung ist lediglich, dass einige Informationen bewusst preisgegeben werden.
Anfällig für solche Phishing-Angriffe sind laut Kuosmanen etwa Chrome, Safari, Opera, aber auch einige Plug-ins und Erweiterungen wie LastPass. Safari hält er immerhin zugute, dass es über die in ein Formular eingebrachten Daten informiert, selbst wenn sie für den Nutzer nicht sichtbar sind. Praktisch nicht gefährdet ist Firefox, bei dem in jedem einzelnen Eingabefeld der einzufügende Inhalt auszuwählen ist.
Besonders locker mit sensiblen Daten geht die standardmäßig aktivierte Autofill-Funktion von Chrome um, die dem Nutzer das Leben erleichtern soll. „Sie können bei der Eingabe von Kaufinformationen Zeit sparen, indem Sie Kreditkarteninformationen mithilfe der Autofill-Funktion in Chrome speichern“, empfiehlt Googles Chrome-Hilfe. Ist ein Anwender in Chrome angemeldet, werden in Webformularen außerdem in Google Payments gespeicherte Karten und Adressen angezeigt – andererseits können in Google Payments gespeicherte Einträge nicht aus Autofill gelöscht werden. Umgekehrt werden aber in Autofill gespeicherte Kreditkarten auch in Google Payments gespeichert, solange nicht die Option „Synchronisierung“ deaktiviert ist.
Wer sensible Daten nicht so einfach preisgeben möchte, sollte daher Autofill in Chrome deaktivieren. Der Weg dorthin führt im geöffneten Chrome-Browser über das Symbol „Mehr“ und Einstellungen, um dann unten mit einem Klick die Erweiterten Einstellungen sichtbar zu machen. Dort ist unter „Passwörter und Formulare“ schließlich das Häkchen zu entfernen neben „Autofill aktivieren, um Webformulare mit nur einem Klick ausfüllen zu können“.
Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…
