CONOCIMIENTO pertenece al mundo
Perfiles del navegador autocompletar son un vector de phishing fiable que permite a un atacante para recoger información de los usuarios a través de los campos ocultos, que el navegador se llena automáticamente con la información personal preestablecido, y que, sin saberlo, el usuario envía al atacante cuando se envía un formulario.
perfiles de relleno automático son una adición reciente a los navegadores de hoy en día. Esta característica funciona al permitir al usuario crear un perfil que tiene diferentes detalles acerca de sí mismo que por lo general entra dentro de los formularios web.
Cuando el usuario tiene que rellenar un formulario en el futuro, puede simplemente seleccionar un perfil de relleno automático y su navegador se introduzca la información preestablecida en todos los campos del formulario, ahorrando al usuario el tiempo que habría necesitado para escribir en 10, 20 o más campos.
Perfiles del navegador de autocompletar no deben confundirse con el comportamiento autofilling campo de formulario, que permite a un usuario rellene un campo de formulario a la vez con los datos que ha introducido previamente en esos campos. perfiles de relleno automático permiten a los usuarios rellenar formularios enteros con un solo clic.
PERFILES DE RELLENO AUTOMÁTICO FACILITAN LOS ATAQUES DE SUPLANTACIÓN DE IDENTIDAD Y RECONOCIMIENTO
Finlandés desarrollador web Viljami Kuosmanen ha publicado ayer una demostración en GitHub que muestra cómo un atacante podría aprovechar los navegadores que soportan los perfiles de autocompletar.
Su demo, disponible aquí, es una forma simple de la tela. Un usuario vea esta página sólo verá un campo de entrada Nombre y correo electrónico, junto con un botón Enviar.
A no ser que el usuario ve el código fuente de la página, que no sabrá que la forma también contiene seis campos más nombrado de teléfono, Organización, dirección, código postal, ciudad y país.
Si el usuario tiene un perfil de relleno automático instalado en su navegador, si se decide a autocompletar por los dos campos visibles, los seis campos ocultos se rellenará así, ya que son parte de la misma forma, aunque invisible para el usuario de ojo.
Como puede imaginarse, esto presenta un método sencillo que los agentes de amenaza pueden usar para recoger todo tipo de información personal sobre los usuarios, que van desde los domicilios de los números de teléfono, e incluso información de la tarjeta de crédito, si el usuario guarda este tipo de datos en su perfil de relleno automático.
UNA FORMA DE RELLENO AUTOMÁTICO FIABLE HA LLEVADO AL INVESTIGADOR POR ESTE AGUJERO DEL CONEJO
"Yo había conocido acerca de este problema desde hace mucho tiempo", dijo Kuosmanen que pita por ordenador de hoy a través de correo electrónico. "Una cosa similar (honeypots) se utiliza para atrapar los robots en las formas de evitar el spam. Esta es la misma idea, sólo atrapar los usuarios del navegador real en lugar de los robots ".
"La idea de la demostración se produjo después de que estaba molesto por el autorrelleno en Chrome campos incorrectos en un sitio de comercio electrónico. Entonces fui a ver qué detalles de cromo había ahorrado para el relleno automático de mí y se sorprendió de cómo se encuentra disponible mucha información ", agregó Kuosmanen.
Intrigado por el comportamiento de Chrome, el desarrollador dice que experimentó después de ver lo que era el rango de campos de formulario Chrome cumplimentaría, y finalmente tuvo la idea de poner a prueba los campos de formulario ocultos.
"Pensé que sería una buena idea para demostrar este problema como un gif y lo compartió en Twitter", dijo Kuosmanen.
Durante sus pruebas, el desarrollador de Chrome descubierto que tenía elementos de interfaz de usuario en su lugar cuando un nombre de usuario o contraseña se rellenó, incluso dentro de un campo oculto, pero estos no se presentó a los otros campos.
Kuosmanen dice que sólo probado Chrome y Safari, y que tanto los navegadores autorrellenará campos ocultos. "Safari hizo un mejor trabajo que indica al usuario qué información se autorrelleno en pero todavía no llenar los campos ocultos", dice.
Según nuestras pruebas, los únicos navegadores que soportan los perfiles de autocompletar son Google Chrome, Safari y Opera.
Los navegadores como Edge, Vivaldi, y Firefox no son compatibles con esta característica, pero Mozilla está trabajando actualmente en él.
La buena noticia es que los usuarios pueden desactivar los perfiles de autocompletar. La mala noticia es que esta función viene activada de forma predeterminada. Los usuarios interesados en cómo esta característica podría comportarse en el futuro pueden apagarlo deshabilitando una casilla de verificación.
En el lado de los proveedores de navegadores, la mejor solución para negar esta vía de ataque sería desactivar el comportamiento de relleno automático de campos de formulario ocultos.
Fuente: https: //www.bleepingcomputer.com
CONOCIMIENTO pertenece al mundo
No hay comentarios:
Publicar un comentario