Autoudfyldte tekstfelter i browseren kan udnyttes til at stjæle personoplysninger

Brugere kan uforvarende udlevere oplysninger i Chrome, Safari og Opera-browsere.

Muligheden for at bede sin webbrowser om at autoudfylde tekstfelter, kan være forbundet med risikoen for at afgive informationer, man helst ville holde for sig selv.

En række populære browsere - herunder Chrome, Safari og Opera, kan narres til at udlevere oplysninger gennem tekstbokse, der er skjulte på hjemmesiden.

Det viser forsøg foretaget af den finske webudvikler Viljami Kuosmanen, skriver The Guardian.

Læs også: Ro på: Det ligner phishing, men det er bare en e-mail fra Rejsekort

Autoudfyld-funktionen skal skåne brugere for at taste trivielle oplysninger igen og igen. Men når browseren, spørger om du vil bruge funktionen, er det ikke sikkert, du kan se, hvilke oplysninger du sender videre.

I Viljami Kousmanens eksempel - der kan afprøves her - udfylder browseren felterne ‘Navn’ og ‘Email’, men når dataen sendes til serveren er både adresse, telefonnummer og virksomhedsnavn inkluderet.

De usete tekstfelter er skjult for brugeren med en negativ margen. Brugeren ved derfor ikke, at oplysningerne er sendt videre. Det er ikke svært at forestille sig, at informationen kan bruges til at lave målrettede spearphishing-kampagner.

'Det er bare dårligt design,' bemærker Viljami Kousmanen på twitter.

Læs også: Phishing-angreb kan snuppe login til password-manager

Password assistenter som fx Lastpass kan tilsyneladende snydes på samme måde, fordi tjenesten ikke undersøger om felterne er synlige for brugeren.

Mozilla Firefox har vist sig at være immun over for problemet, fordi browseren ikke understøtter automatisk udfyldning af flere bokse simultant.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk

Kommentarer (1)

Kjeld Flarup Christensen

Man behøver vel ikke kræve at brugeren trykker submit.
Hvis man gemmer en form væk på en tilfældig hjemmeside, og lader noget java sende de autoudfyldte felter efter et par sekunder.

Og kan man så lokke den til at sende nogle passwords.

Log ind eller opret en konto for at skrive kommentarer

Pressemeddelelser

Big Data Lake Summit: Fast and Trusted Insights

If you want to outpace, outsmart and outperform your competition in a digital world, you need trusted data that can be turned into actionable business insights at speed.
24. apr 2017

Welcome to Free course to learn about the combined power of Alteryx and Qlik!

Affecto invites to a free course, where we want to share our knowledge of this self-service analysis platform together with the power of Qlik.
20. apr 2017

Robotics Process Automation (RPA) changes the way organizations think about and perform work at a reduced cost, higher efficiency and greater productivity

Join us for this exiting seminar, which Affecto hosts with our business partner SmartRPA May 3rd, 2017 at 13.00 in Copenhagen.
30. mar 2017