2017/01/11

Hackers podem usar preenchimento automático dos browsers para roubar dados


O sistema de preenchimento automático de dados feito pelos browsers pode ser conveniente para os utilizadores, mas pode também ser abusado por hackers para obter dados que os utilizadores não sabem que estão a fornecer.

Quem estiver a utilizar o sistema de "autofill" do browser, ou até de extensões como o LastPass, como forma de evitar a introdução repetitiva dos mesmos dados em formulários na web, poderá estar a fornecer dados que não desejava fornecer. O problema é que em browsers como o Chrome, Safari e Opera, o sistema de preenchimento automático funciona até em campos que estão escondidos.

Desta forma, um utilizador que se confronte com um formulário aparentemente simples, que lhe pede apenas o nome e email, e aceite enviar essa informação, poderá inadvertidamente estar a enviar também todo um vasto conjunto de dados auto-preenchidos, incluindo coisas como a morada, número de telefone, nome da empresa onde trabalha, e até dados sobre o seu cartão de crédito.



Podem fazer um teste rápido sobre os dados que o vosso browser pode revelar sobre vocês ao utilizarem o autofill.

Curiosamente, o Firefox é imune a este problema, mas apenas por não dispor de um sistema de preenchimento automático para múltiplos campos. Sendo também caricato que neste momento se esteja a trabalhar num sistema mais avançado... e que potencialmente também o tornaria vítima deste tipo de ataques.

Agora que se chamou a atenção para o assunto, é de imaginar que os browsers comecem a implementar algumas medidas de segurança, como não preencher campos que não estejam visíveis, ou pedir que seja validado/autorizado cada campo preenchido antes de permitir o seu envio para um servidor (sendo que, de qualquer forma, é sempre uma potencial vulnerabilidade, se imaginarmos as potencialidades de algum script a recolher imediatamente esses dados do formulário, mesmo antes de serem oficialmente enviados).

Por via das dúvidas, o melhor será evitarem o preenchimento automático em formulários de sites desconhecidos/duvidosos, ou simplesmente desligarem-no de forma definitiva.

1 comentário:

[pub]