Como Impedir que os Recursos de Preenchimento Automático do Navegador Vazam Seus Dados Pessoais

Se você é como a maioria das pessoas, você depende do preenchimento automático do navegador para completar formulários web irritantes. O “preenchimento automático” do navegador preenche automaticamente suas informações nos campos de formulários web com base nas informações que você já inseriu nesses campos.

A má notícia é que terceiros maliciosos e hackers de chapéu preto podem usar esse recurso de preenchimento automático nos navegadores para enganá-lo a fornecer suas informações sensíveis. Um hacker de chapéu branco da Finlândia, Viljami Kuosmanen, que também é desenvolvedor web, mostrou em sua demonstração no GitHub que atacantes poderiam sequestrar o recurso de preenchimento automático em plugins, gerenciadores de senhas (e ferramentas semelhantes) e navegadores.

browser-autofill-kuosmanen-github

Muito antes de Kuosmanen, o analista de segurança da ElevenPaths, Ricardo Martin Rodriguez, havia descoberto essa vulnerabilidade de preenchimento automático do navegador em 2013. Até agora, o Google não encontrou uma solução para essa vulnerabilidade.

Vazando suas informações sensíveis sem saber

No site de demonstração do conceito de Kuosmanen, você verá um formulário web simples consistindo de apenas dois campos – nome e endereço de e-mail. No entanto, o formulário possui muitos campos ocultos (ou seja, fora de vista); esses campos ocultos incluem endereço, organização, número de telefone, cidade, código postal e país.

browser-autofill-hacked-filled-form-1

Em um formulário como o acima, você veria apenas os campos de nome e e-mail, mas seu recurso de preenchimento automático preencheria automaticamente seus dados nos campos restantes. Um formulário web de phishing como o acima teria coletado mais informações do que você está ciente ao clicar no botão Enviar.

Para testar os recursos de preenchimento automático do seu navegador e extensão, você pode usar o site de prova de conceito que Kuosmanen configurou. Ao enviar o formulário, percebi que ele havia coletado mais informações do que eu forneci. Usei o Mozilla Firefox mais recente para este teste e fiquei surpreso com a quantidade de informações que vazei.

No Chrome, o preenchimento automático de dados financeiros aciona um aviso para sites sem HTTPS. Na minha experiência, o formulário de Kuosmanen tentou coletar a data em que preenchi o formulário, meu endereço, meu número de cartão de crédito, CVV, data de validade do cartão de crédito, minha cidade, país, e-mail, nome, organização, telefone e código postal.

browser-autofill-hacked-filled-form-2

O formulário até tentou coletar alguns metadados sobre o tipo do meu navegador, meu endereço IP atual e mais. Veja minha captura de tela abaixo.

browser-autofill-hacked-filled-form-3

Apple Safari, Google Chrome e Opera estavam todos vulneráveis durante um teste de ataque de Kuosmanen.

Em janeiro de 2017, Daniel Veditz, engenheiro principal de segurança da Mozilla, disse que navegadores Firefox não podem ser enganados para preencher programaticamente caixas de texto. Usuários do Firefox estão seguros contra ataques de preenchimento automático do navegador (pelo menos por enquanto), já que o navegador não possui um sistema de preenchimento automático de múltiplas caixas. O navegador Firefox da Mozilla torna obrigatório que os usuários selecionem manualmente os dados pré-preenchidos para cada caixa de texto em um formulário web.

Conclusão: desative o recurso de preenchimento automático do seu navegador

A precaução mais fácil a ser tomada contra ataques de phishing é desativar o recurso de preenchimento automático de formulários nas configurações do seu navegador, extensão ou gerenciador de senhas. O recurso de preenchimento automático do seu navegador, por padrão, está ativado.