Browser autofill usato per rubare dati personali

La funzionalità auto-completamento consente di velocizzare l’inserimento dei dati nei form web, evitando la digitazione manuale. Uno sviluppatore finlandese, Viljami Kuosmanen, ha scoperto però una grave vulnerabilità nel browser autofill di Chrome, Safari e Opera che potrebbe essere sfruttata da malintenzionati per rubare le informazioni personali degli utenti. Lo stesso rischio si corre utilizzando alcune estensioni, come LastPass.

L’auto-completamento è molto comodo soprattutto quando viene chiesto l’inserimento di numerose informazioni, ad esempio su un sito di e-commerce. Un cybercriminale potrebbe però eseguire un attacco di phishing convincendo l’utente a digitare i suoi dati su un sito simile all’originale. Nella pagina web vengono mostrati pochi campi del form, ad esempio nome e indirizzo email, ma in realtà ci sono altri campi nascosti. Ciò significa che verranno inserite anche informazioni più sensibili, come indirizzo di residenza, numero di telefono, data di nascita e dati della carta di credito (numero, data di scadenza e CVV).

Lo sviluppatore ha verificato l’esistenza del problema su Chrome, la cui funzione autofill è attivata di default, ma la stessa vulnerabilità è presente su Safari e Opera. Firefox è invece immune perché, al momento, non ha un sistema di auto-completamento multi-box (l’utente deve cliccare sui singoli campi del form).

This is why I don't like autofill in web forms. #phishing #security #infosec pic.twitter.com/mVIZD2RpJ3

— viljami.io 🇺🇸 (@anttiviljami) January 4, 2017

Finché Google, Apple e Opera non trovano una soluzione meno drastica, l’unica alternativa è disattivare l’auto-completamento nelle impostazioni del browser. In ogni caso è consigliabile utilizzare i propri dati solo su siti affidabili al 100%.