Εάν είστε σαν τους περισσότερους ανθρώπους, βασίζεστε στην αυτόματη συμπλήρωση του προγράμματος περιήγησης για να ολοκληρώσετε ενοχλητικές φόρμες ιστού. Η "αυτόματη συμπλήρωση" του προγράμματος περιήγησης συμπληρώνει αυτόματα τις πληροφορίες σας σε πεδία σε φόρμες ιστού με βάση πληροφορίες που καταχωρίσατε προηγουμένως σε αυτά τα πεδία.

Τα κακά νέα είναι ότι κακόβουλα τρίτα μέρη και χάκερ μαύρων καπέλων μπορούν να χρησιμοποιήσουν αυτό το χαρακτηριστικό αυτόματης συμπλήρωσης σε προγράμματα περιήγησης για να σας εξαπατήσουν να σας δώσουν τις ευαίσθητες πληροφορίες σας. Ένας χάκερ λευκού καπέλου από τη Φινλανδία, ο Viljami Kuosmanen, ο οποίος είναι επίσης προγραμματιστής ιστού, έδειξε στο demo του GitHub ότι οι επιτιθέμενοι θα μπορούσαν να καταλάβουν τη δυνατότητα αυτόματης συμπλήρωσης σε plugins, διαχειριστές κωδικών (και τέτοια εργαλεία) και προγράμματα περιήγησης.

Πολύ πριν από τον Kuosmanen, ο αναλυτής ασφαλείας του ElevenPaths, Ricardo Martin Rodriguez, είχε ανακαλύψει αυτό το θέμα ευπάθειας αυτόματης συμπλήρωσης του προγράμματος περιήγησης το 2013. Μέχρι στιγμής, η Google δεν βρήκε λύση σε αυτή την ευπάθεια.

Χύστε τις ευαίσθητες πληροφορίες σας εν αγνοία τους

Στην επίδειξη επίδειξης ιστοτόπου του Kuosmanen θα δείτε μια απλή φόρμα ιστού που αποτελείται από δύο μόνο πεδία - όνομα και διεύθυνση ηλεκτρονικού ταχυδρομείου. Ωστόσο, η φόρμα έχει πολλά κρυμμένα (δηλαδή εκτός οράσεως) πεδία εκεί. αυτά τα κρυμμένα πεδία περιλαμβάνουν τη διεύθυνση, την οργάνωση, τον αριθμό τηλεφώνου, την πόλη, τον ταχυδρομικό κώδικα και τη χώρα.

Σε μια μορφή όπως η παραπάνω, θα δείτε μόνο τα πεδία ονόματος και email, αλλά η λειτουργία αυτόματης συμπλήρωσης θα συμπληρώσει αυτόματα τα στοιχεία σας στα υπόλοιπα πεδία. Μια φόρμα ιστού ηλεκτρονικού "ψαρέματος" (phishing), όπως αυτή που περιγράφηκε παραπάνω, θα έχει συγκεντρώσει περισσότερες πληροφορίες από ό, τι γνωρίζετε όταν κάνετε κλικ στο κουμπί Υποβολή.

Για να δοκιμάσετε τις λειτουργίες περιήγησης και αυτόματης συμπλήρωσης επέκτασης, μπορείτε να χρησιμοποιήσετε τον ιστότοπο proof-of-concept που είχε δημιουργήσει ο Kuosmanen. Κατά την υποβολή της φόρμας παρατήρησα ότι είχε πάρει περισσότερες πληροφορίες από ό, τι έδωσα. Χρησιμοποίησα το τελευταίο Mozilla Firefox για αυτό το τεστ και έμεινα έκπληκτος με το πόσες πληροφορίες είχα ξεπεράσει.

Στα οικονομικά δεδομένα αυτόματης συμπλήρωσης του Chrome ενεργοποιείται μια προειδοποίηση για ιστότοπους χωρίς HTTPS. Κατά τη γνώμη μου, η μορφή του Kuosmanen προσπάθησε να συγκεντρώσει την ημερομηνία που συμπλήρωσα τη φόρμα, τη διεύθυνση μου, τον αριθμό της πιστωτικής μου κάρτας, την CVV, την ημερομηνία λήξης της πιστωτικής μου κάρτας, την πόλη μου, τη χώρα, το email, το όνομα, την οργάνωση, το τηλέφωνο και τον ταχυδρομικό κώδικα.

Η φόρμα προσπάθησε ακόμη και να συλλέξει μερικά μεταδεδομένα στον τύπο του προγράμματος περιήγησης, την τρέχουσα διεύθυνση IP και πολλά άλλα. Δείτε το στιγμιότυπο οθόνης μου παρακάτω.

Το Apple Safari, το Google Chrome και η Opera ήταν όλα ευάλωτα κατά τη διάρκεια μιας δοκιμής επίθεσης του Kuosmanen.

Τον Ιανουάριο του 2017, ο Daniel Veditz, κύριος μηχανικός ασφαλείας της Mozilla, δήλωσε ότι οι φυλλομετρητές του Firefox δεν μπορούν να εξαπατηθούν για να συμπληρώσουν με προγραμματισμό κουτιά κειμένων. Οι χρήστες του Firefox είναι ασφαλείς από τις αυτόματες επιθέσεις του προγράμματος περιήγησης (τουλάχιστον για τώρα), καθώς το πρόγραμμα περιήγησης δεν διαθέτει σύστημα αυτόματης συμπλήρωσης πολλαπλών κουτιών. Το πρόγραμμα περιήγησης Firefox του Mozilla καθιστά υποχρεωτικό για τους χρήστες να επιλέγουν με μη αυτόματο τρόπο τα προπληρωμένα δεδομένα για κάθε πλαίσιο κειμένου σε μια φόρμα ιστού.

Συμπέρασμα: Απενεργοποιήστε τη λειτουργία αυτόματης συμπλήρωσης του προγράμματος περιήγησης

Η πιο εύκολη προφύλαξη για την αντιμετώπιση των επιθέσεων ηλεκτρονικού "ψαρέματος" (phishing) είναι να απενεργοποιήσετε τη λειτουργία αυτόματης συμπλήρωσης φόρμας στο πρόγραμμα περιήγησης, τις ρυθμίσεις επέκτασης ή τον διαχειριστή κωδικών πρόσβασης. Η λειτουργία αυτόματης συμπλήρωσης του προγράμματος περιήγησης είναι ενεργοποιημένη από προεπιλογή.

Για να ενεργοποιήσετε την αυτόματη συμπλήρωση στο Chrome:

1. Μεταβείτε στην "Ρυθμίσεις" του προγράμματος περιήγησης.

2. Βρείτε "Προηγμένες ρυθμίσεις" στο κάτω μέρος της σελίδας.

3. Στην περιοχή "Κωδικοί πρόσβασης και φόρμες", καταργήστε την επιλογή "Ενεργοποίηση αυτόματης συμπλήρωσης".

Για να ενεργοποιήσετε την αυτόματη συμπλήρωση στο Opera:

1. Μεταβείτε στις Ρυθμίσεις.

2. Μεταβείτε στην επιλογή "Αυτόματη συμπλήρωση" και απενεργοποιήστε την.

Για να ενεργοποιήσετε την αυτόματη συμπλήρωση στο Safari:

1. Μεταβείτε στην επιλογή "Προτιμήσεις".

2. Κάντε κλικ στο "Autofill" για να το απενεργοποιήσετε.

Αν βρήκατε αυτή τη θέση χρήσιμη, κάντε κλικ στο κουμπί "Ναι" παρακάτω. Θα χαρούμε πολύ να δούμε και τα σχόλιά σας.