Browser: Autofill-Funktion ermöglicht begrenztes Phishing

Webseiten können die Autovervollständigung bei Browsern nutzen, um unbemerkt persönliche Daten abzugreifen. Grund für den möglichen Datenleak ist die - eigentlich bekannte - Tatsache, dass Browser wie Googles Chrome oder Apples Safari bei der Nutzung von Autofill automatisch alle auf einem Webformular zur Verfügung stehenden Felder ausfüllen. Und zwar unabhängig davon, ob die Felder für den Nutzer der Webseite sichtbar sind oder nicht.

Diesen Umstand machte sich der finnische Programmierer Viljami Kuosmanen zunutze und schrieb eine Demoseite (Code auf Github), bei der neben den sichtbaren Formularfeldern Name und E-Mail noch weitere Felder für Telefonnummer, Firma und Postanschrift versteckt sind. Mit der simplen HTML/CSS-Anweisung <p style="margin-left:-500px"></p> verschwinden die Felder aus dem Blickfeld des Nutzers, werden aber von den genannten Browsern offenbar dennoch ausgefüllt.

Nicht neu, aber ungelöst

Im Prinzip ist die Verwendung versteckter Felder nicht neu. Ähnlich wird sie beispielsweise für Honeypots eingesetzt, mit denen Formulare Spam-Bots einfangen können. "Das ist die gleiche Idee, nur dass ich echte Browser einfange statt Spam-Bots", schreibt Kuosmanen. Ein Ausnutzen in freier Wildbahn ist ihm bisher aber nicht bekannt.

Auf die Idee, versteckte Formularfelder für echtes Phishing zu verwenden, sei er eher zufällig gekommen. "Ich war genervt, dass mein Chrome-Browser beim Shoppen im Netz immer die falschen Felder ausfüllt. Also habe ich nachgeschaut, was Chrome alles über mich im Autofill gespeichert hat und war überrascht, wie viele Informationen da drin waren."

• 

Demo für das Pishing über das Autofill unsichtbarer Formularfelder (Quelle: Viljami Kuosmanen/Screenshot: Golem.de)

Für noch sensiblere Informationen wie Benutzernamen, Passwörter oder Kreditkartendaten besteht laut Kuosmanen keine Gefahr. Da gebe es in Browsern wie Chrome besondere Warnmeldungen für Nutzer. Bei den anderen persönlichen Daten sieht es offenbar schlechter aus.

Chrome problematisch, Firefox nicht betroffen

"Ich selbst habe nur Chrome und Safari getestet, weil ich die beiden Browser am meisten nutze", schreibt der Programmierer. "Safari macht seinen Job etwas besser, weil er Nutzern vorher zeigt, welche Informationen automatisch ausgefüllt werden." Wer da nicht genau hinschaue, bleibe aber auch bei Safari ungeschützt, denn "versteckte Felder werden am Ende dennoch ausgefüllt."

Nicht betroffen ist offenbar Mozillas Firefox, bei dem Autofill eher eine Vorschlagfunktion ist - und daher auch Autocomplete heißt. Klickt man in Firefox auf ein leeres Formularfeld, werden lediglich frühere Eingaben angezeigt, die Nutzer dann manuell auswählen können. Versteckte Felder bleiben so einfach leer.

Lösungen gibt es

Um das Problem zu umgehen, werden in Foren von "Autofill ganz abschalten" bis zu "Autofill-after-draw" bereits diverse Vorschläge diskutiert. Für Kuosmanen wäre die beste Lösung, dass Browser nur solche Formularfelder automatisch ausfüllen, die zuvor aktiv vom Nutzer angeklickt wurden. Im Prinzip also Mozillas Lösung für den Firefox. "Persönlich mag ich zwar auch Safaris Ansatz, den Nutzer zu informieren, welche Felder im Formular ausgefüllt werden, aber das wird wahrscheinlich von Nutzern zu einfach übersehen."