Autoudfyldte tekstfelter i browseren kan udnyttes til at stjæle personoplysninger

Brugere kan uforvarende udlevere oplysninger i Chrome, Safari og Opera-browsere.

Muligheden for at bede sin webbrowser om at autoudfylde tekstfelter, kan være forbundet med risikoen for at afgive informationer, man helst ville holde for sig selv.

En række populære browsere - herunder Chrome, Safari og Opera, kan narres til at udlevere oplysninger gennem tekstbokse, der er skjulte på hjemmesiden.

Det viser forsøg foretaget af den finske webudvikler Viljami Kuosmanen, skriver The Guardian.

Læs også: Ro på: Det ligner phishing, men det er bare en e-mail fra Rejsekort

Autoudfyld-funktionen skal skåne brugere for at taste trivielle oplysninger igen og igen. Men når browseren, spørger om du vil bruge funktionen, er det ikke sikkert, du kan se, hvilke oplysninger du sender videre.

I Viljami Kousmanens eksempel - der kan afprøves her - udfylder browseren felterne ‘Navn’ og ‘Email’, men når dataen sendes til serveren er både adresse, telefonnummer og virksomhedsnavn inkluderet.

De usete tekstfelter er skjult for brugeren med en negativ margen. Brugeren ved derfor ikke, at oplysningerne er sendt videre. Det er ikke svært at forestille sig, at informationen kan bruges til at lave målrettede spearphishing-kampagner.

'Det er bare dårligt design,' bemærker Viljami Kousmanen på twitter.

Læs også: Phishing-angreb kan snuppe login til password-manager

Password assistenter som fx Lastpass kan tilsyneladende snydes på samme måde, fordi tjenesten ikke undersøger om felterne er synlige for brugeren.

Mozilla Firefox har vist sig at være immun over for problemet, fordi browseren ikke understøtter automatisk udfyldning af flere bokse simultant.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk

Følg forløbet

Kommentarer (1)

Kjeld Flarup Christensen

Man behøver vel ikke kræve at brugeren trykker submit.
Hvis man gemmer en form væk på en tilfældig hjemmeside, og lader noget java sende de autoudfyldte felter efter et par sekunder.

Og kan man så lokke den til at sende nogle passwords.

Log ind eller opret en konto for at skrive kommentarer

Pressemeddelelser

Affecto Denmark reaches highest Microsoft Partner level

Affecto Denmark, a leading provider of data-driven solutions, has reached the highest level in the Microsoft partner ecosystem: Managed Partner.
22. jun 2017

Innovate your business with Affecto's IoT Explorer Kit

Are you unsure if Internet of Things fits your business strategy?
31. maj 2017

Big Data Lake Summit: Fast and Trusted Insights

If you want to outpace, outsmart and outperform your competition in a digital world, you need trusted data that can be turned into actionable business insights at speed.
24. apr 2017