Многие пользователи не в восторге от необходимости вручную вводить логины и пароли при авторизации, особенно на мобильных устройствах. На этот счет в популярных браузерах существует функция автоматического заполнения, намного упрощающая данный процесс. Но несмотря на всю пользу этой опции, есть и негативный нюанс: при помощи этой функции злоумышленники могут обманным путем вынудить пользователя предоставить им свои данные.
Финский разработчик Вильями Куосманен опубликовал на GitHub демо, показывающее, как атакующий может воспользоваться функцией автозаполнения форм для своих целей. Этот способ впервые обнаружен в 2013 году исследователем из ElevenPaths Рикардо Мартином Родригесом, однако Google до сих пор не решила эту проблему.
Представленный Коусманеном демо-сайт состоит из простой web-формы с двумя видимыми полями – для имени и электронного адреса. Остальные поля (для телефонного номера, названия организации, адреса, почтового индекса и пр.) от глаз пользователей скрыты. Когда потенциальная жертва вводит свое имя и электронный адрес, невидимые ее взору поля заполняются автоматически, и все эти данные отправляются злоумышленникам. Мошенники могут также добавить скрытые поля для номера кредитной карты и другой платежной информации.
Все вышеописанное работает для целого ряда популярных браузеров, таких как Google Chrome, Apple Safari и Opera, а также для приложения LastPass. Исключением является Mozilla Firefox, где пользователи должны вводить свои данные вручную, но и это 100% гарантии их защиты, к сожалению, не дает.
Источник http://www.securitylab.ru/