Om du är som de flesta, lita du på autofyll i webbläsaren för att slutföra irriterande webbformulär. Webbläsarens "autofyll" fyller automatiskt din information i fält i webbformulär baserat på information som du tidigare hade angett i fälten.

Den dåliga nyheten är att skadliga tredje part och svarthatt hackare kan använda den här autofyllfunktionen i webbläsare för att lura dig för att ge bort din känsliga information. En vithatthackare från Finland, Viljami Kuosmanen, som också är en webbutvecklare, visade i sin GitHub-demo att angripare kunde kapra autofyllningsfunktionen i plugins, lösenordshanterare (och sådana verktyg) och webbläsare.

Långt innan Kuosmanen, ElevenPaths säkerhetsanalytiker Ricardo Martin Rodriguez, hade upptäckt den här webbläsarens autofyll sårbarhet 2013. Hittills har Google inte hittat en lösning på denna sårbarhet.

Spilla din känsliga information omedvetet

På Kuosmanens bevis-of-concept demo webbplats ser du en enkel webbformulär som består av endast två fält - namn och e-postadress. Däremot har formuläret många dolda (dvs. ur syn) fält där; Dessa dolda fält inkluderar adress, organisation, telefonnummer, stad, postnummer och land.

I en form som den ovanstående skulle du bara se namn och e-postfält, men din autofyllningsfunktion fyller automatiskt i dina uppgifter i de återstående fälten. Ett webbfiskningsformulär som det ovanstående skulle ha samlat in mer information än du vet om när du klickar på Submit-knappen.

För att testa din webbläsare och autofyllningsfunktioner för extensions kan du använda den konceptplats som Kuosmanen hade satt upp. Vid inlämning av formuläret märkte jag att det hade tagit mer information än jag gav. Jag använde den senaste Mozilla Firefox för detta test och blev förvånad över hur mycket information jag slog ut.

I Chrome utlöser de finansiella uppgifterna automatiskt en varning för webbplatser utan HTTPS. Enligt min uppfattning försökte Kuosmanens formulär att samla in det datum jag fyllde i formuläret, min adress, mitt kreditkortsnummer, CVV, utbetalningsdatum för kreditkort, min stad, land, e-post, namn, organisation, telefon och postnummer.

Formen försökte även samla in vissa metadata på min webbläsartyp, min nuvarande IP-adress och mer. Se min skärmdump nedan.

Apple Safari, Google Chrome och Opera var alla sårbara under ett Kuosmanen-attacktest.

I januari 2017 sade Daniel Veditz, Mozillas viktigaste säkerhetsingenjör, att Firefox-webbläsare inte kan luras på att programfyllda textrutor programmeras. Firefox-användare är säkra från autofyll-attacker för webbläsare (åtminstone för tillfället), eftersom webbläsaren inte har ett autofyllsystem med flera rutor. Mozilla Firefox-webbläsare gör det obligatoriskt för användarna att manuellt välja förfyllda data för varje textruta i ett webbformulär.

Slutsats: stäng av autofyllfunktionen för din webbläsare

Den enklaste försiktigheten att ta emot phishing-attacker är att stänga av autofyllfunktionen i webbläsaren, tilläggsinställningarna eller lösenordshanteraren. Din webbläsares autofyllningsfunktion är som standard aktiverad.

Så här aktiverar du autofyll i Chrome:

1. Gå till webbläsarens "Inställningar".

2. Hitta "Avancerade inställningar" längst ner på sidan.

3. Avmarkera "Aktivera autofyllning" i fältet "Lösenord och formulär".

Så här stänger du autofyll i Opera:

1. Gå till Inställningar.

2. Gå till "Autofyll" och stäng av den.

Så här aktiverar du autofyll i Safari:

1. Gå till "Inställningar".

2. Klicka på "Autofyll" för att stänga av den.

Om du hittade det här inlägget användarvänligen klickar du på "Ja" nedan. Vi skulle gärna se dina kommentarer också.