Browser: Autofill-Funktion ermöglicht begrenztes Phishing

Bösartige Webseiten können die Autovervollständigen-Funktion einiger Browser missbrauchen, um unbemerkt an persönliche Nutzerdaten zu gelangen. Zum Schutz hilft offenbar nur, Autofill ganz abzuschalten oder den Browser zu wechseln.

Artikel veröffentlicht am ,
Demoseite von Viljami Kuosmanen
Demoseite von Viljami Kuosmanen (Bild: Golem.de/CC0 1.0)

Webseiten können die Autovervollständigung bei Browsern nutzen, um unbemerkt persönliche Daten abzugreifen. Grund für den möglichen Datenleak ist die - eigentlich bekannte - Tatsache, dass Browser wie Googles Chrome oder Apples Safari bei der Nutzung von Autofill automatisch alle auf einem Webformular zur Verfügung stehenden Felder ausfüllen. Und zwar unabhängig davon, ob die Felder für den Nutzer der Webseite sichtbar sind oder nicht.

Diesen Umstand machte sich der finnische Programmierer Viljami Kuosmanen zunutze und schrieb eine Demoseite (Code auf Github), bei der neben den sichtbaren Formularfeldern Name und E-Mail noch weitere Felder für Telefonnummer, Firma und Postanschrift versteckt sind. Mit der simplen HTML/CSS-Anweisung <p style="margin-left:-500px"></p> verschwinden die Felder aus dem Blickfeld des Nutzers, werden aber von den genannten Browsern offenbar dennoch ausgefüllt.

Nicht neu, aber ungelöst

Im Prinzip ist die Verwendung versteckter Felder nicht neu. Ähnlich wird sie beispielsweise für Honeypots eingesetzt, mit denen Formulare Spam-Bots einfangen können. "Das ist die gleiche Idee, nur dass ich echte Browser einfange statt Spam-Bots", schreibt Kuosmanen. Ein Ausnutzen in freier Wildbahn ist ihm bisher aber nicht bekannt.

Auf die Idee, versteckte Formularfelder für echtes Phishing zu verwenden, sei er eher zufällig gekommen. "Ich war genervt, dass mein Chrome-Browser beim Shoppen im Netz immer die falschen Felder ausfüllt. Also habe ich nachgeschaut, was Chrome alles über mich im Autofill gespeichert hat und war überrascht, wie viele Informationen da drin waren."

  • Demo für das Pishing über das Autofill unsichtbarer Formularfelder (Quelle: Viljami Kuosmanen/Screenshot: Golem.de)
  • Demo für das Pishing über das Autofill unsichtbarer Formularfelder (Quelle: Viljami Kuosmanen/Screenshot: Golem.de)
  • Demo für das Pishing über das Autofill unsichtbarer Formularfelder (Quelle: Viljami Kuosmanen/Screenshot: Golem.de)
Demo für das Pishing über das Autofill unsichtbarer Formularfelder (Quelle: Viljami Kuosmanen/Screenshot: Golem.de)

Für noch sensiblere Informationen wie Benutzernamen, Passwörter oder Kreditkartendaten besteht laut Kuosmanen keine Gefahr. Da gebe es in Browsern wie Chrome besondere Warnmeldungen für Nutzer. Bei den anderen persönlichen Daten sieht es offenbar schlechter aus.

Chrome problematisch, Firefox nicht betroffen

"Ich selbst habe nur Chrome und Safari getestet, weil ich die beiden Browser am meisten nutze", schreibt der Programmierer. "Safari macht seinen Job etwas besser, weil er Nutzern vorher zeigt, welche Informationen automatisch ausgefüllt werden." Wer da nicht genau hinschaue, bleibe aber auch bei Safari ungeschützt, denn "versteckte Felder werden am Ende dennoch ausgefüllt."

Nicht betroffen ist offenbar Mozillas Firefox, bei dem Autofill eher eine Vorschlagfunktion ist - und daher auch Autocomplete heißt. Klickt man in Firefox auf ein leeres Formularfeld, werden lediglich frühere Eingaben angezeigt, die Nutzer dann manuell auswählen können. Versteckte Felder bleiben so einfach leer.

Lösungen gibt es

Um das Problem zu umgehen, werden in Foren von "Autofill ganz abschalten" bis zu "Autofill-after-draw" bereits diverse Vorschläge diskutiert. Für Kuosmanen wäre die beste Lösung, dass Browser nur solche Formularfelder automatisch ausfüllen, die zuvor aktiv vom Nutzer angeklickt wurden. Im Prinzip also Mozillas Lösung für den Firefox. "Persönlich mag ich zwar auch Safaris Ansatz, den Nutzer zu informieren, welche Felder im Formular ausgefüllt werden, aber das wird wahrscheinlich von Nutzern zu einfach übersehen."

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Aktuell auf der Startseite von Golem.de
Quartalszahlen
So verkauft Elon Musk Teslas Schrumpfkurs als Wachstum

Nur 3 statt 20 Millionen Autos, Investitionen in neue Fabriken wurden gestrichen und die 4680-Akkus waren angeblich nie wichtig für Tesla.
Eine Analyse von Frank Wunderlich-Pfeiffer

Quartalszahlen: So verkauft Elon Musk Teslas Schrumpfkurs als Wachstum
Artikel
  1. Lebensmittellieferdienst: Getir/Gorillas schließt in Deutschland
    Lebensmittellieferdienst
    Getir/Gorillas schließt in Deutschland

    Getir, der Käufer von Gorillas, der Käufer von Gorillas, hat Milliarden US-Dollar an Bewertung verloren und ist mit seiner Europaexpansion gescheitert. Nun werden Tausende Kündigungen folgen.

  2. Bionicbee: Festos Roboterbienen fliegen im Schwarm
    Bionicbee
    Festos Roboterbienen fliegen im Schwarm

    Bisher hat Festo Insektenroboter im Schwarm laufen lassen. Die bionischen Bienen fliegen im Schwarm.

  3. Neue App von Apple: iPad bekommt nach 14 Jahren einen Taschenrechner
    Neue App von Apple
    iPad bekommt nach 14 Jahren einen Taschenrechner

    Es geschehen noch Zeichen und Wunder. Im Fall von Apples iPad sind es Plus-, Minus- und Gleichheitszeichen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MediaMarkt: Asus Gaming-Laptop 999€ statt 1.599€ • Galaxy S23 400€ günstiger • Anker USB-Ladegeräte -45% • MSI MEG 342CDE OLED 999€ • Gamesplanet Spring Sale [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /