Mittels Autofill Abfangen sensibler Nutzerdaten möglich

Der finnische Web-Entwickler und Hacker Viljami Kuosmanen hat eine mögliche Angriffmethode entdeckt, um an persönliche Nutzerdaten zu gelangen. Unter Verwendung von Autofill beim Ausfüllen von Formularen soll es bei Browsern, wie Google Chrome, Safari und Erweiterungen, wie dem Passwortmanager Lastpass möglich sein, neben den sichtbaren Formularfeldern Name und E-Mail-Adresse noch weitere, für den Anwender versteckte Felder, z.B. für Telefonnummer, Firma und Postanschrift gleich mit zu übertragen, wie Heise Online berichtet.

Moderne Browser merken sich die Eingabe des Nutzers und können diese Felder mit einem Klick selbstständig mit den (meist) korrekten Daten per Autofill ausfüllen. Anhand der Formular-ID versucht der Browser zu erkennen, welcher Text an welche Stelle gehört – und genau diese Funktion ist nicht nur nützlich, sie kann auch zum Problem werden. Frei nach dem Motto: „Gerne dürfen es auch ein paar Daten mehr sein“, macht HTML es möglich. Mit der simplen HTML/CSS-Anweisung: < p style="margin-left:-500px">< /p> verschwinden die Felder aus dem Blickfeld des Nutzers, werden aber von den genannten Browsern dennoch ausgefüllt. Der Nutzer denkt, er hätte lediglich den Vornamen und Nachnamen ausgefüllt, tatsächlich aber wurde in den versteckten Feldern die Adresse und Telefonnummer zusätzlich abgefragt und gleich vollständig mit übertragen. Auf diese Weise konnte der Webseiten-Betreiber sehr viel mehr Daten sammeln, als der Nutzer angenommen hat und diesem lieb sein kann. Zu Demonstrationszwecken hat Viljami Kuosmanen eine Demoseite aufgesetzt, auf der man die Angriffsmethode mit seinem Browser nachvollziehen kann sowie den Code auf GitHub zum Herunterladen bereitgestellt.


Dabei ist eine Verwendung versteckter Felder nicht neu. Ähnlich werden sie beispielsweise für Honeypots eingesetzt, mit denen Formulare Spam-Bots einfangen können. Viljami Kuosmanen kommentiert dazu: „Das ist die gleiche Idee, nur dass ich echte Browser einfange statt Spam-Bots. Ich war genervt, dass mein Chrome-Browser beim Shoppen im Netz immer die falschen Felder ausfüllt. Also habe ich nachgeschaut, was Chrome alles über mich im Autofill gespeichert hat und war überrascht, wie viele Informationen da drin waren.“

Laut Kuosmanen bestehe für noch sensiblere Informationen wie Benutzernamen, Passwörter oder Kreditkartendaten allerdings keine Gefahr. Da gebe es in Browsern wie Chrome besondere Warnmeldungen für Nutzer. Bei den anderen persönlichen Daten sieht es jedoch schlechter aus: „Ich selbst habe nur Chrome und Safari getestet, weil ich die beiden Browser am meisten nutze“, gibt der Web-Entwickler bekannt. „Safari macht seinen Job etwas besser, weil er Nutzern vorher zeigt, welche Informationen automatisch ausgefüllt werden.“ Wer da nicht genau hinschaue, bleibe aber auch bei Safari ungeschützt, denn „versteckte Felder werden am Ende dennoch ausgefüllt.“ Demnach lässt sich der Trick besonders effektiv mit Chrome ausnutzen, bei dem das Opfer absolut nichts von dem Angriff mitbekommt.

Ein Anwenden der Methode wäre ebenso ein mögliches Betätigungsfeld für Cyberkriminelle. Angreifer müssten die Nutzer lediglich auf eine entsprechend präparierte Webseite locken und dazu bringen, eigentlich völlig unverfängliche Informationen, wie Name und E-Mail-Adresse, in Formularfelder einzutragen. Die Autofill-Funktion versucht dann, so viele gespeicherte Daten wie möglich in das Formular einzutragen, auch in Textboxen, die für den Nutzer nicht sichtbar sind und schon ist die Falle zugeschnappt, denn diese Daten könnten die Cyberdiebe dann abgreifen.

Bei Mozillas Firefox hat die Autofill-Funktion eher Vorschlagscharakter, sie wird auch bezeichnet als Autocomplete. Daher ist Firefox sicher und nicht betroffen von dieser Phishing Methode. Klickt man in Firefox auf ein leeres Formularfeld, werden lediglich frühere Eingaben angezeigt, die Nutzer dann manuell auswählen können. Versteckte Felder bleiben so einfach leer.

Fazit:

Zwei Möglichkeiten bieten derzeit einen effektiven Schutz, um sich vor dieser Methode zu schützen. Zum einen könnte man die Autofill-Funktion deaktivieren und/oder bei der Eingabe von Formulardaten auf den Firefoxbrowser zurückgreifen.

Bildquelle: geralt, thx! (CC0 Public Domain)

Vielleicht gefällt dir auch

3 Kommentare

  1. ugurano sagt:

    deswegen nie speichern lassen

  2. Zig sagt:

    Der Erfinder mochte halt mal seine ‚Maus‘ :)

    Nutze das Plugin für Autofill sowieso nicht (da hab ich auch Sicherheitsbedenken), aber den Passwortmanager schon. Eben einfach wegen der Bequemlichkeit …klick & gut ists.

    Sollte ich umdenken nun?

    Lieber einen ’nicht‘ Browser-Passwortmanager verwenden?

  3. Aspi2017 sagt:

    Bequemlichkeit hat seinen Preis.

    Es gibt sicher auch andere Dirty Hacks in dieser Hinsicht : Opacity, Überdeckung der Felder durch andere Elemente, innerHTML direkt nach Autofill mittels JS auslesen.

    Leuten, die dieses Browser-Feature aktiviert haben, wird es aber eh Wurst sein. Hauptsache man muss nichts mehr eintippen.

Schreibe einen Kommentar