Tecnologie spiegate in parole semplici

Come fermare le funzionalità di completamento automatico del browser dalla fuga dei tuoi dati personali

Se sei come la maggior parte delle persone, fai affidamento sul completamento automatico del browser per compilare noiosi moduli web. Il “completamento automatico” del browser riempie automaticamente le tue informazioni nei campi dei moduli web in base alle informazioni che hai precedentemente inserito in questi campi.

La cattiva notizia è che terze parti malintenzionate e hacker black-hat possono utilizzare questa funzionalità di completamento automatico nei browser per ingannarti e farti rivelare le tue informazioni sensibili. Un hacker white-hat finlandese, Viljami Kuosmanen, che è anche uno sviluppatore web, ha dimostrato nel suo demo su GitHub che gli attaccanti potrebbero dirottare la funzionalità di completamento automatico in plugin, gestori di password (e strumenti simili) e browser.

browser-autofill-kuosmanen-github

Molto prima di Kuosmanen, l’analista di sicurezza di ElevenPaths, Ricardo Martin Rodriguez, aveva scoperto questa vulnerabilità del completamento automatico del browser nel 2013. Finora, Google non ha trovato una soluzione a questa vulnerabilità.

Rivelare le tue informazioni sensibili senza saperlo

Sul sito web di prova di Kuosmanen vedrai un semplice modulo web composto da soli due campi: nome e indirizzo email. Tuttavia, il modulo ha molti campi nascosti (cioè fuori vista); questi campi nascosti includono indirizzo, organizzazione, numero di telefono, città, codice postale e paese.

browser-autofill-hacked-filled-form-1

In un modulo come quello sopra, vedresti solo i campi nome e email, ma la tua funzionalità di completamento automatico riempirebbe automaticamente i tuoi dettagli nei campi rimanenti. Un modulo web di phishing come quello sopra avrebbe raccolto più informazioni di quelle di cui sei a conoscenza quando clicchi sul pulsante Invia.

Per testare le funzionalità di completamento automatico del tuo browser e delle estensioni, puoi utilizzare il sito di prova che Kuosmanen ha impostato. Inviando il modulo ho notato che aveva raccolto più informazioni di quelle che ho fornito. Ho usato l’ultima versione di Mozilla Firefox per questo test e sono rimasto stupito da quante informazioni ho rivelato.

In Chrome, il completamento automatico dei dati finanziari attiva un avviso per i siti web senza HTTPS. Nella mia esperienza, il modulo di Kuosmanen ha tentato di raccogliere la data in cui ho compilato il modulo, il mio indirizzo, il numero della mia carta di credito, CVV, data di scadenza della carta di credito, la mia città, paese, email, nome, organizzazione, telefono e codice postale.

browser-autofill-hacked-filled-form-2

Il modulo ha persino cercato di raccogliere alcuni metadati sul mio tipo di browser, il mio attuale indirizzo IP e altro. Vedi il mio screenshot qui sotto.

browser-autofill-hacked-filled-form-3

Apple Safari, Google Chrome e Opera erano tutti vulnerabili durante un test di attacco di Kuosmanen.

Nel gennaio 2017, Daniel Veditz, ingegnere principale della sicurezza di Mozilla, ha affermato che i browser Firefox non possono essere ingannati per riempire programmaticamente le caselle di testo. Gli utenti di Firefox sono al sicuro dagli attacchi di completamento automatico del browser (almeno per ora), poiché il browser non ha un sistema di completamento automatico multi-casella. Il browser Firefox di Mozilla rende obbligatorio per gli utenti selezionare manualmente i dati precompilati per ciascuna casella di testo in un modulo web.

Conclusione: disattiva la funzionalità di completamento automatico del tuo browser

La precauzione più semplice da prendere contro gli attacchi di phishing è disattivare la funzionalità di completamento automatico del modulo nel tuo browser, nelle impostazioni delle estensioni o nel gestore di password. La funzionalità di completamento automatico del tuo browser, per impostazione predefinita, è attivata.

Per disattivare il completamento automatico in Chrome:

  1. Vai alle “Impostazioni” del browser.

  2. Trova “Impostazioni avanzate” in fondo alla pagina.

  3. Nella sezione “Password e moduli” deseleziona “Abilita completamento automatico.”

Per disattivare il completamento automatico in Opera:

  1. Vai su Impostazioni.

  2. Vai su “Completamento automatico” e disattivalo.

Per disattivare il completamento automatico in Safari:

  1. Vai su “Preferenze.”

  2. Clicca su “Completamento automatico” per disattivarlo.

Se hai trovato utile questo post, clicca “Sì” qui sotto. Saremmo felici di vedere anche i tuoi commenti.

Contenuto

  1. Rivelare le tue informazioni sensibili senza saperlo
  2. Conclusione: disattiva la funzionalità di completamento automatico del tuo browser
  3. Per disattivare il completamento automatico in Chrome:
  4. Per disattivare il completamento automatico in Opera:
  5. Per disattivare il completamento automatico in Safari:
Ello-dashboardprofile

Ello: Esplorando il Social Network Privato

Bitdefender Non Installato: 3 Soluzioni Facili Che Puoi Usare

Ulteriori informazioni sulle correzioni di Bitdefender

Google elimina Inbox e gli dà sei mesi di vita

rapporti-aspetto-16x9

Comprendere i Rapporti di Aspetto dei Video

Gestore di File con Tag per Organizzare i Tuoi File: Top 5

Correggi wake on LAN non funzionante

Wake On LAN Non Funziona su Windows [Risolto]

easycap-mac-mspacman-console

Utilizzare EasyCAP per acquisire VHS e console su Mac

Google testa una nuova funzionalità di Chrome per l'idoneità all'aggiornamento a Windows 11