Você está aqui: Página Inicial / Notícias / Preenchimento Automático possibilita divulgação de informação confidencial

Preenchimento Automático possibilita divulgação de informação confidencial

Você sabe para que serve o preenchimento automático?

O preenchimento automático (em inglês, autofill) é um mecanismo utilizado pelos navegadores e gerenciadores de senha para preencher campos de um website. Por exemplo, após preencher um formulário online que solicite nome completo, endereço, cidade e data de nascimento é possível solicitar ao navegador para armazenar esses dados. Então, caso você precise preencher um outro formulário com essas informações, o navegador pode utilizar aqueles dados armazenados e realizar esse procedimento automaticamente.

 

      

 

Apesar dessa funcionalidade trazer facilidades ao usuário, ela também gera complicações. O desenvolvedor e hacker Viljami Kuosmanen descobriu que vários navegadores (tais como o Ghrome, Safari e Opera), plugins e gerenciadores de senhas podem ser enganados para divulgar todas as informações armazenadas para o uso do preenchimento automático. Basta que uma pessoa maliciosa crie um site em que oculte parte dos campos e deixe outros disponíveis para o usuário preencher.

 

Utilizando como exemplo as imagens acima, vamos supor que o site acessado seja na verdade um site falso da Amazon. Visivelmente você consegue identificar dois campos: e-mail e senha. Porém é possível que o desenvolvedor malicioso tenha ocultado campos como endereço e número de telefone, fazendo com que, ao você utilizar o preenchimento automático, o navegador ou plugin preencha todos os campos existentes na página, até mesmo os ocultos! Imagine um site pedir seu endereço de e-mail apenas, você utilizar o preenchimento automático e descobrir que o site agora sabe onde você mora e seu número de telefone. Se utilizar essa funcionalidade para armazenar dados de cartão de crédito a situação pode piorar e muito.

 

O hacker Kuosmanen criou um site para demonstrar o problema. O site mostra a existência de um campo para o nome de usuário e um para o endereço de e-mail. De maneira oculta, existem campos para endereço e para o número de telefone. Após ter os campos preenchidos automaticamente pelo Google Chrome, o desenvolvedor mostra que foi enviado ao site informações além dos campos exibidos. 

 

Para evitar esse ataque deve-se desativar o preenchimento automático de navegadores e extensões.

 

 

Fonte: The Guardian


Autor: Diogo Brandão
Especialista em Cibersegurança