Al igual que la mayoría de la gente, seguramente odia tener que rellenar los formularios web, especialmente en dispositivos móviles. Para ayudar a que todo este proceso sea más rápido, Google Chrome y otros navegadores importantes ofrecen función «Autocompletar» que rellena automáticamente formularios web basándose en los datos que ha introducido previamente en campos similares.
Sin embargo, resulta que un atacante puede utilizar esta característica de aautompletar contra usted y engañarle para que se entregue su información privada a los hackers o a individuos terceros maliciosos.
El desarrollador web finlandés y hacker de whitehat Viljami Kuosmanen publicó una demo en GitHub que muestra cómo un atacante podría aprovecharse de la función de relleno automático proporcionada por la mayoría de los navegadores, complementos y herramientas como el administradores de contraseñas.
Aunque, este truco fue descubierto por primera vez por Ricardo Martín Rodríguez , analista de seguridad de ElevenPaths, en el año 2013, pero al parecer Google no ha hecho nada para hacer frente a la debilidad en función autocompletar.
El sitio web de demostración consiste en un simple formulario web en línea con sólo dos campos: nombre y correo electrónico. Pero lo que no es visible son muchos campos ocultos (fuera de la vista), incluyendo el número de teléfono, organización, dirección, código postal, ciudad y país.
Regalando toda su información personal
Por lo tanto, si los usuarios con relleno automático configurado en sus navegadores llenan este sencillo formulario y pulsa el botón de envío, enviarán todos los campos que están ocultos, pero presentes en la página también enviado a los estafadores sin escrúpulos.
También puede probar la función de navegador y el relleno automático de extensión utilizando Kuosmanen en el sitio de PoC.
Kuosmanen puede empeorar este ataque agregando más campos personales fuera de la vista del usuario, incluyendo la dirección del usuario, el número de la tarjeta de crédito, la fecha de caducidad y CVV, aunque los formularios de datos financieros auto-rellenados activarán avisos en Chrome cuando los sitios no ofrecen HTTPS .
Kuosmanen ataca contra una gran variedad de navegadores y herramientas de autocompletar, como Google Chrome, Apple Safari, Opera e incluso la popular bóveda de seguridad en la nube LastPass.
Los usuarios de Firefox de Mozilla no necesitan preocuparse por este ataque en particular, porque el navegador actual no tiene un sistema de relleno automático en varias cajas y obliga a usuarios a seleccionar datos de autocompletar para cada caja manualmente.
Por lo tanto, el navegador Firefox no puede ser engañado para llenar las cajas de texto por medios de programación, dijo el principal ingeniero de seguridad de Mozilla Daniel Veditz.
Aquí es cómo desactivar autocompletar
La forma más sencilla de protegerse contra este tipo de ataques de phishing es desactivar la función autocompletar en formularios de la configuración del navegador, administrador de contraseñas y ampliación.
Función de relleno automático está activado de forma predeterminada. He aquí cómo desactivar esta función en Chrome:
Ir a Ajustes → Mostrar configuración avanzada en la parte inferior, y en las contraseñas y formularios sección desactive en el cuadro Habilitar de Autocompletar para rellenar formularios web con un solo click.
En Opera, vaya a Configuración → Llenado automático y desactivarlos.
En Safari, vaya a Preferencias y haga clic en Autocompletar para desactivarlo.