Tính năng Browser AutoFill có thể rò rỉ thông tin cá nhân của bạn cho hacker

Cũng giống như hầu hết các bạn, tôi cũng thực sự ghét điền biểu mẫu trên web, đặc biệt là trên các thiết bị di động. Để giúp làm cho toàn bộ quá trình này nhanh hơn, Google Chrome và các trình duyệt khác cung cấp “Autofill” tính năng tự động điền vào biểu mẫu web dựa trên dữ liệu trước đó bạn đã nhập trong các trường tương tự.

Tính năng Browser AutoFill có thể rò rỉ thông tin cá nhân của bạn cho hacker

Tuy nhiên, nó chỉ ra rằng một kẻ tấn công có thể sử dụng tính năng tự động điền này chống lại bạn và lừa bạn làm tràn thông tin cá nhân của bạn đến tin tặc hoặc các bên thứ ba độc hại. Nhà phát triển web Phần Lan và hacker mũ trắng Viljami Kuosmanen công bố một bản demo trên GitHub cho thấy làm thế nào một kẻ tấn công có thể tận dụng lợi thế của các tính năng tự động điền được cung cấp bởi hầu hết các trình duyệt, bổ sung, và các công cụ như quản lý mật khẩu.

Mặc dù, lừa này lần đầu tiên được phát hiện bởi Ricardo Martin Rodriguez, nhà phân tích an ninh tại ElevenPaths, trong năm 2013, nhưng có vẻ như Google đã không được thực hiện bất cứ điều gì để giải quyết các điểm yếu trong tính năng Autofill.

Trang web giới thiệu proof-of-concept bao gồm một biểu mẫu web trực tuyến đơn giản chỉ với hai lĩnh vực: tên và Email. Nhưng điều gì là không thể nhìn thấy được trường nhiều ẩn (ngoài tầm mắt) bao gồm số điện thoại, tổ chức, địa chỉ, mã bưu điện thành phố và quốc gia.

Các thông tin vô tình gửi ra bên ngoài

Tính năng Browser AutoFill có thể rò rỉ thông tin cá nhân của bạn cho hacker

Vì vậy, nếu người sử dụng với một hồ sơ tự động điền cấu hình trong trình duyệt của họ điền vào biểu mẫu đơn giản này và click vào nút gửi, chúng tôi sẽ gửi cho tất cả các trường không biết đến, thực tế là sáu lĩnh vực được ẩn, nhưng hiện nay trên trang cũng được điền và gửi đến những kẻ lừa đảo vô đạo đức. Bạn cũng có thể kiểm tra tính năng trình duyệt và tiện ích mở rộng Autofill của bạn trên trang web PoC Kuosmanen.

Kuosmanen có thể làm cho cuộc tấn công này thậm chí còn tồi tệ hơn bằng cách thêm các trường cá nhân hơn ra khỏi tầm nhìn của người sử dụng, bao gồm cả địa chỉ của người sử dụng, số thẻ tín dụng, ngày hết hạn, và CVV, mặc dù biểu mẫu dữ liệu tài chính tự động điền vào sẽ kích hoạt cảnh báo trên Chrome khi các trang web không cung cấp HTTPS . Kuosmanen tấn công chống lại một loạt các trình duyệt lớn và các công cụ Autofill phổ biến bao gồm cả Google Chrome, Apple Safari, Opera, và thậm chí cả phần mềm bảo mật đám mây của LastPass.

Tính năng Browser AutoFill có thể rò rỉ thông tin cá nhân của bạn cho hacker

Người sử dụng trình duyệt Firefox của Mozilla không cần phải lo lắng về cuộc tấn công này cụ thể như hiện nay trình duyệt, không có một hệ thống tự động điền nhiều textbox và bắt buộc người dùng để chọn dữ liệu trước khi lấp đầy dữ liệu cho từng textbox bằng tay. Do đó, trình duyệt Firefox không thể bị lừa làm đầy textbox bằng chương trình,  kỹ sư an ninh chính của Mozilla – Daniel Veditz nói.

Đây là Làm thế nào để Tắt tính năng Autofill

Cách đơn giản nhất để tự bảo vệ mình chống lại các cuộc tấn công lừa đảo như vậy là để vô hiệu hóa tính năng Autofill bằng cách vào các thiết lập của trình duyệt, quản lý mật khẩu hoặc tiện ích mở rộng của bạn.

Tính năng Autofill được bật theo mặc định. Dưới đây là làm thế nào để tắt tính năng này trong Chrome:

Vào Settings → Show Advanced Settings, tìm Passwords and Forms chọn uncheck Enable Autofill box to fill out web forms with a single click.

Đối với Opera, vào Settings → Autofill and turn it off.

Đối với Safari, vào Preferences và nhấp chọn AutoFill ở chế độ off (tắt chế độ Autofill).

thehackernews