Awareness

Der Datendiebstahl durch die Autofill-Funktion!

Aktualisiert am

Es soll das Ausfüllen von Formularen beschleunigen und dem Nutzer Zeit ersparen – wäre da nicht die Gefahr vom Datendiebstahl durch die Autofill-Funktion! Der finnische Entwickler und Hacker Viljami Kuosmanen hat in einem Tweet, dem ein GIF angehängt ist, die Gefahr dargestellt. Nur Nutzer des Firefox Browsers sind auf der sicheren Seite.

Datendiebstahl durch die Autofill-Funktion kann kritische Folgen haben!

Die Methode zum stehlen von Daten ist denkbar einfach. Die Annahme, dass die Autofill-Funktion nur Textboxen ergänzt die auch sichtbar sind, der irrt. Daten lassen sich bei diesem Phishing Angriff über unsichtbare Textboxen abgreifen.

Dabei lassen sich nicht nur Namens- und E-Mail-Felder abgreifen, sondern auch die von Kreditkartenfeldern. Es sind aber nicht nur Felder betroffen – auch Plugins betrifft diese Schwachstelle. Besonders kritisch wird es an dieser Stelle, wenn die Daten von PasswortManagern abgegriffen werden. Der Datendiebstahl durch die Autofill-Funktion verrät im worst-case also das Masterpasswort für euren Passwortsafe!

So sieht der Datendiebstahl durch die Autofill-Funktion aus!

Viljamis GIF lässt bereits erahnen, dass nicht viel “magic” hinter dieser Attacke steckt. Obwohl er bloß den Namen und und die Email eintippt, verrät der Browser sämtliche Daten. Dass schaut der finnische Hacker nach, in dem er sich die Daten anschaut, die übermittelt worden sind.

Sie sehen gerade einen Platzhalterinhalt von X. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen

Das sind die betroffenen Systeme!

Wer mit Chrome, Safari, Opera unterwegs ist – und Plug-ins und Erweiterungen wie LastPass installiert hat, kann dem Datendiebstahl zum Opfer fallen. Wer mit Firefox unterwegs ist, ist auf der sicheren Seite. Hier muss nämlich jedes einzelne Feld separat ausgewählt werden – die Übertragung von nicht geforderten Daten wird so ausgeschlossen.

Insbesondere Chrome speichert viele Daten der Nutzer ab. Wer das nicht möchte, der kann die Funktion vom Autofill auch deaktivieren.

  • Einstellungen
    • Erweiterte Einstellungen
      • Haken entfernen bei:
      • Passwörter und Formulare speichern
      • Autofill aktivieren

Fortan unterlässt es Chrome eure Informationen zu speichern oder die Informationen bereitzuhalten.

Der Datendiebstahl durch die Autofill-Funktion – Meine Meinung!

Es ist gut vorstellbar dass diese Lücke auch in der Praxis Anwendung findet. Schließlich finden sich auch Millionen von Kreditkarten-Datensätzen im Internet. Hier müssen Chrome, Safari & Co. schnell nachbessern. Ich empfehle die Autofill-Funktion zu deaktivieren.

Wirklich gut hat die Autofill-Funktion bei mir nicht gearbeitet – oft wurden richtige Daten in falschen Feldern vorgeschlagen. Am Ende musste ich dann alle Felder korrigieren – auf die Autofill-Funktion kann man dann getrost verzichten!

Weitere Informationen und Quellen

[1] Browser-Autofill-Funktion für Phishing-Attacken nutzbar (zdnet.de)

Foto des Autors

Chris Wojzechowski

Mein Name ist Chris Wojzechowski und ich habe vor wenigen Jahren meinen Master in Internet-Sicherheit in Gelsenkirchen studiert. Ich bin geschäftsführender Gesellschafter der AWARE7 GmbH und ausgebildeter IT-Risk Manager, IT-Grundschutz Praktiker (TÜV) und besitze die Prüfverfahrenskompetenz für § 8a BSIG. Unser Brot und Buttergeschäft ist die Durchführung von Penetrationstests. Wir setzen uns darüber hinaus für ein breites Verständnis für IT-Sicherheit in Europa ein und bieten aus diesem Grund den Großteil unserer Produkte kostenfrei an.