Функция автозаполнения форм в браузерах угрожает безопасности данных

Большинство пользователей по-настоящему ненавидят вручную вводить логины и пароли в формы авторизации, особенно на мобильных устройствах. К счастью, в популярных браузерах существует функция автоматического заполнения, намного упрощающая процесс авторизации. Тем не менее, злоумышленники могут воспользоваться ею и обманным путем заставить жертву предоставить им свои данные.

Финский разработчик Вильями Куосманен (Viljami Kuosmanen) опубликовал на GitHub демо, показывающее, как атакующий может в своих целях воспользоваться функцией автозаполнения форм. Данный способ был впервые обнаружен еще в 2013 году исследователем из ElevenPaths Рикардо Мартином Родригесом (Ricardo Martin Rodriguez), однако Google до сих пор не решила проблему.

Представленный Коусманеном демо-сайт состоит из простой web-формы с двумя видимыми полями – для имени и электронного адреса. Остальные поля (для телефонного номера, названия организации, адреса, почтового индекса и пр.) скрыты от глаз пользователей. Когда жертва вводит свое имя и электронный адрес, невидимые для нее поля заполняются автоматически, и данные отправляются мошенникам. Злоумышленники могут также добавить скрытые поля для номера кредитной карты и другой платежной информации.

Атака работает для целого ряда популярных браузеров, таких как Google Chrome, Apple Safari и Opera, а также для приложения LastPass. Исключением является Mozilla Firefox, где пользователи должны все формы заполнять вручную. Однако злоумышленники все равно могут обманом заставить их ввести свои данные.