De Finse beveiligingsonderzoeker Viljami Kuosmanen heeft getoond hoe kwaadwillenden van de browserfunctie voor het automatisch vullen van formuliervelden gebruik kunnen maken om gegevens te stelen. De methode werkt aan de hand van verborgen formuliervelden.

Kuosmanen voorzag de Duitse site Golem van uitleg over zijn project en publiceerde de broncode op zijn GitHub-pagina. Zijn methode maakt gebruik van verborgen formuliervelden, die met wat css buiten het zicht van de gebruiker worden gehouden. Dit weerhoudt de browser er echter niet van de om de verborgen velden in te vullen, ook al zijn er maar een of twee zichtbaar voor de gebruiker.

Zo denkt de gebruiker bijvoorbeeld alleen de velden voor naam en e-mail in te vullen, maar geeft hij via de verborgen velden meer informatie prijs. Om dit te demonstreren, bouwde de onderzoeker een demosite. Hij testte zijn methode in Chrome en in Safari, die beide vatbaar zijn voor een dergelijke aanval. Voor gegevens als gebruikersnamen, wachtwoorden en creditcardgegevens is de methode niet te gebruiken, omdat de browsers daarbij een waarschuwing tonen.

Safari toont aan de gebruiker welke gegevens ingevuld worden, maar een onoplettende gebruiker kan hierdoor alsnog te veel in laten vullen. Firefox is niet vatbaar voor de methode, omdat deze niet zozeer over een autofill-functie beschikt, maar meer over een autocomplete-variant, legt de onderzoeker aan Golem uit. Zo moet een gebruiker elk veld afzonderlijk selecteren om een lijst met eerder ingevulde opties te zien te krijgen.

De onderzoeker zegt dat hij op het idee kwam toen hij zich ergerde aan de autofill-functie in Chrome en wilde achterhalen hoeveel gegevens de browser eigenlijk van hem heeft opgeslagen. Hij voegt daaraan toe dat de methode niet nieuw is, omdat deze bijvoorbeeld ook voor honeypots wordt gebruikt. De methode toont echter aan dat browsers niet detecteren dat bepaalde velden voor de gebruiker onzichtbaar zijn en dat er nog steeds geen oplossing voor het probleem is. Volgens Kuosmanen is een mogelijke verdediging het uitschakelen van autofill, wat überhaupt een goede maatregel is. Daarnaast ziet hij het meest in de aanpak van Firefox.

Reacties mogelijk gemaakt door CComment