Die Autofill-Funktion moderner Browser ist zweifellos eine nützliche Angelegenheit: Mit einer Tastenberührung können die wichtigsten Daten bequem automatisch ausgefüllt werden, anstatt sie immer aufs Neue manuell eintragen zu müssen. Leider hat all dies aber auch eine Kehrseite, wie nun ein finnischer Hacker demonstriert.

Fallstricke

Die Autofill-Funktion von Browsern wie Chrome, Safari und Opera lässt sich dazu nutzen, sensible Daten unbemerkt abzugreifen. Besonders unerfreulich: Der dafür notwendige Trick ist äußerst einfach durchzuführen, wie Viljami Kuosmanen ausführt.

Eine Webseite kann nämlich einfach zusätzliche Autofill-Felder angeben, die dann aber nicht dargestellt werden. Obwohl diese Felder für die Nutzer nicht zu sehen sind, werden sie von der Autofill-Funktion automatisch ausgefüllt. Schicken die User nun ein Formular ab, wo beispielsweise nur der Name abgefragt wird, kann die Seite dadurch von den Usern unbemerkt auch andere sensible Daten beziehen.

Demonstration

Kuosmanen demonstriert dies anhand von Googles Chrome, der unter anderem Wohnort, Telefonnummer und Mail-Adresse via Autofill abspeichert. Theoretisch könnten mit solchen Tricks sogar Kreditkarteninformationen abgegriffen werden. Zumindest beim Chrome ist diese spezielle Autofill-Möglichkeit aber mittlerweile getrennt und an die Eingabe des CVV-Codes gebunden.

Firefox nicht betroffen

Neben den erwähnten Browsern soll der Trick auch mit diversen Browser-Erweiterungen wie etwa LastPass funktionieren. Mozillas Firefox ist für den Angriff übrigens aus einem simplen Grund nicht anfällig: Der Open-Source-Browser bietet derzeit nämlich keine Autofill-Funktion, die sich über mehrere Felder erstreckt, auch wenn eine solche derzeit in Entwicklung ist.

Die einzige Abhilfe für betroffene Nutzer ist derzeit, die Autofill-Funktion zu deaktivieren, oder zumindest genau zu überlegen, wo diese benutzt wird. (apo, 12.1.2017)