Flere nettlesere, i alle fall Chrome, Opera og Safari, har innebygd støtte for automatisk utfylling av webbaserte skjemaer. Dette gjøres ved at nettleseren lar brukeren lage en profil med personlige data som man deretter kan velge når man skal fylle ut et skjema som ber om deler av eller all denne informasjonen.
Dette kan gjøre utfyllingen av omfattende innmeldingsskjemaer og annet svært mye enklere, dersom navnene på feltene er omtrent de samme på tvers av ulike skjemaer. Da kan en rekke felter fylles ut med bare ett klikk.
Dette er ikke det samme som autofullfør-funksjonaliteten som i blant tilbys i enkeltfelter i et skjema.
Men som så mye annen, nyttig funksjonalitet, kan også autoutfyll-funksjonaliteten misbrukes.
Usynlige felter
Bleeping Computer skriver i en artikkel om et eksempel på hvordan autoutfyll-funksjonaliteten til nettlesere kan utnyttes av blant annet phishingsider. Det er nemlig ikke slik at den informasjonen som samles inn er begrenset til de synlige feltene på siden.
Skjemaer på websider kan også ha usynlige felter, som brukes av webapplikasjonen til å oppbevare ulike data som ikke skal endres direkte av brukeren. Men den finske utviklere Viljami Kuosmanen publiserte nylig et eksempel på et webskjema med mange usynlige felter som kan brukes til å utnytte autoutfyll-funksjonaliteten i nettleserne.
I eksempelet er bare to felter synlige. Her kan brukeren fylle inn sitt navn og epostadresse. Når man gjøre dette i for eksempel Chrome, og allerede har en autoutfyll-profil som inneholder i alle fall navnet, blir man spurt om man vil bruke denne. Velger man å gjøre dette etter å ha fylt ut navnet, blir feltet for epostadresse automatisk fylt ut.
Så langt, så vel. Men det brukeren ikke ser, er at skjemaet på eksempelsiden har en hel del usynlige felter, som har navn som «address», «phone», «country» og tilsvarende. Selv om feltene ikke er synlige, vil autoutfyll-funksjonen også fylle ut disse. Noen nettlesere kan også huske og fylle inn kredittkortinformasjon automatisk.
Dette er en enkel måte for id-tyver og andre å samle inn personlig informasjon om brukeren enn det brukeren vanligvis vil være villig til å oppgi på et vilkårlig nettsted.
Deaktivering
Til Bleeping Computer sier Kuosmanen at han har testet det hele i Chrome og Safari.
– Safari gjør en bedre jobb med å fortelle brukeren om hvilken informasjon den autofyller, men fortsatt fyller den ut de skjulte feltene, sier Kuosmanen.
For å unngå at denne angrepsvektoren utnyttes, må man skru av autofyll-funksjonen i nettleseren. Funksjonaliteten er vanligvis aktivert som standard. Nøyaktig hvordan dette gjøres, varierer fra nettleser til nettleser.
I Safari finner man det rett under «Safari > Valg, og deretter «Autoutfyll».
I Chrome finnes må man gå til innstillinger (chrome://settings/) og skrive «Auto» i søkefeltet. Da får man blant annet opp valget «Aktiver autofyll» under overskriften «Passord og skjemaer».
I Opera gjøres det omtrent som i Chrome, men innstillingene finnes under overskriften «Autoutfylling».
Nettlesere som Edge, Firefox og Vivaldi har i alle fall foreløpig ikke støtte for autoutfylling av personinformasjon.
Selv om man skrur av den innebygde autoutfyll-funksjonaliteten, så kan man ta i bruk nettleserutvidelser som tilbyr det samme, men som samtidig gir brukeren både mer kontroll og muligheter. Autofill til Chrome er et eksempel på dette.
Sikkerhetsselskap: – Nesten halvparten av nettstedene er risikable å besøke
