Как остановить функции автозаполнения браузера от утечки ваших личных данных
Если вы, как и большинство людей, полагаетесь на автозаполнение браузера для заполнения надоедливых веб-форм. Браузерное «автозаполнение» автоматически заполняет ваши данные в полях веб-форм на основе информации, которую вы ранее вводили в эти поля.
Плохая новость заключается в том, что злонамеренные третьи лица и хакеры могут использовать эту функцию автозаполнения в браузерах, чтобы обманом заставить вас раскрыть вашу конфиденциальную информацию. Хакер-белый шляпник из Финляндии, Вильями Куосманен, который также является веб-разработчиком, продемонстрировал в своем демонстрационном проекте на GitHub, что злоумышленники могут перехватить функцию автозаполнения в плагинах, менеджерах паролей (и подобных инструментах) и браузерах.
Задолго до Куосманена аналитик безопасности ElevenPaths, Рикардо Мартин Родригес, обнаружил эту уязвимость автозаполнения браузера в 2013 году. На данный момент Google не нашел решения этой уязвимости.
Утечка вашей конфиденциальной информации без ведома
На демонстрационном сайте Куосманена вы увидите простую веб-форму, состоящую всего из двух полей – имени и адреса электронной почты. Однако в форме есть много скрытых (т.е. невидимых) полей; эти скрытые поля включают адрес, организацию, номер телефона, город, почтовый индекс и страну.
В форме, подобной приведенной выше, вы увидите только поля имени и электронной почты, но ваша функция автозаполнения автоматически заполнит ваши данные в оставшихся полях. Форма фишинга, подобная приведенной выше, собрала бы больше информации, чем вы осознаете, когда нажимаете кнопку «Отправить».
Чтобы протестировать функции автозаполнения вашего браузера и расширений, вы можете использовать сайт с доказательством концепции, который создал Куосманен. При отправке формы я заметил, что она захватила больше информации, чем я предоставил. Я использовал последнюю версию Mozilla Firefox для этого теста и был поражен тем, сколько информации я раскрыл.
В Chrome автозаполнение финансовых данных вызывает предупреждение для сайтов без HTTPS. По моему опыту, форма Куосманена пыталась собрать дату, когда я заполнил форму, мой адрес, номер кредитной карты, CVV, дату истечения срока действия кредитной карты, мой город, страну, электронную почту, имя, организацию, телефон и почтовый индекс.
Форма даже пыталась собрать некоторые метаданные о моем типе браузера, моем текущем IP-адресе и многом другом. Смотрите мой скриншот ниже.
Apple Safari, Google Chrome и Opera все были уязвимы во время теста атаки Куосманена.
В январе 2017 года Даниэль Ведитц, главный инженер безопасности Mozilla, сказал, что браузеры Firefox не могут быть обмануты для программного заполнения текстовых полей. Пользователи Firefox защищены от атак автозаполнения браузера (по крайней мере, на данный момент), так как браузер не имеет системы автозаполнения для нескольких полей. Браузер Mozilla Firefox делает обязательным для пользователей вручную выбирать предзаполненные данные для каждого текстового поля в веб-форме.
Заключение: отключите функцию автозаполнения вашего браузера
Самая простая мера предосторожности против атак фишинга – это отключить функцию автозаполнения формы в настройках вашего браузера, расширения или менеджера паролей. Ваша функция автозаполнения браузера по умолчанию включена.
Чтобы отключить автозаполнение в Chrome:
Перейдите в «Настройки» браузера.
Найдите «Дополнительные настройки» внизу страницы.
В области «Пароли и формы» снимите отметку с «Включить автозаполнение».
Чтобы отключить автозаполнение в Opera:
Перейдите в Настройки.
Перейдите в «Автозаполнение» и отключите его.
Чтобы отключить автозаполнение в Safari:
Перейдите в «Настройки».
Нажмите на «Автозаполнение», чтобы отключить его.
Если вы нашли этот пост полезным, пожалуйста, нажмите «Да» ниже. Мы также будем рады видеть ваши комментарии.
