Autoudfyldte tekstfelter i browseren kan udnyttes til at stjæle personoplysninger

Brugere kan uforvarende udlevere oplysninger i Chrome, Safari og Opera-browsere.

Muligheden for at bede sin webbrowser om at autoudfylde tekstfelter, kan være forbundet med risikoen for at afgive informationer, man helst ville holde for sig selv.

En række populære browsere - herunder Chrome, Safari og Opera, kan narres til at udlevere oplysninger gennem tekstbokse, der er skjulte på hjemmesiden.

Det viser forsøg foretaget af den finske webudvikler Viljami Kuosmanen, skriver The Guardian.

Læs også: Ro på: Det ligner phishing, men det er bare en e-mail fra Rejsekort

Autoudfyld-funktionen skal skåne brugere for at taste trivielle oplysninger igen og igen. Men når browseren, spørger om du vil bruge funktionen, er det ikke sikkert, du kan se, hvilke oplysninger du sender videre.

I Viljami Kousmanens eksempel - der kan afprøves her - udfylder browseren felterne ‘Navn’ og ‘Email’, men når dataen sendes til serveren er både adresse, telefonnummer og virksomhedsnavn inkluderet.

De usete tekstfelter er skjult for brugeren med en negativ margen. Brugeren ved derfor ikke, at oplysningerne er sendt videre. Det er ikke svært at forestille sig, at informationen kan bruges til at lave målrettede spearphishing-kampagner.

'Det er bare dårligt design,' bemærker Viljami Kousmanen på twitter.

Læs også: Phishing-angreb kan snuppe login til password-manager

Password assistenter som fx Lastpass kan tilsyneladende snydes på samme måde, fordi tjenesten ikke undersøger om felterne er synlige for brugeren.

Mozilla Firefox har vist sig at være immun over for problemet, fordi browseren ikke understøtter automatisk udfyldning af flere bokse simultant.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk

Følg forløbet

Kommentarer (1)

Kommentarer (1)
Kjeld Flarup Christensen

Man behøver vel ikke kræve at brugeren trykker submit.
Hvis man gemmer en form væk på en tilfældig hjemmeside, og lader noget java sende de autoudfyldte felter efter et par sekunder.

Og kan man så lokke den til at sende nogle passwords.

Log ind eller opret en konto for at skrive kommentarer

Pressemeddelelser

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 10:29

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017

Affecto has the solution and the tools you need

According to GDPR, you are required to be in control of all of your personally identifiable and sensitive data. There are only a few software tools on the market to support this requirement today.
13. sep 2017