Автозаполнение может использоваться для взлома
Финский веб-разработчик и белый хакер Вильями Куосманен установил, что несколько браузеров, включая Google Chrome, Apple Safari и Opera, а также несколько менеджеров паролей, плагинов и утилит, включая LastPass, могут быть одурачены, с целью выудить различную пользовательскую информацию.
Фишинговая атака довольно проста. Когда пользователь заполняет информацию в текстовых полях, автозаполнение сканирует все прочие текстовые поля, подбирая ранее введенные аналогичные значения. Это происходит даже в случае, если эти поля невидимы. В демонстрации, Куосманен показал простую онлайн форму лишь с двумя видимыми полями «Имя» и «Email», которая благодаря скрытым полям и автозаполнению собирает и другую информацию о пользователе, включая адрес, телефон, организацию и город проживания.
Исследователь отметил, что эту атаку можно сделать ещё более опасной, собрав важные пользовательские данные, включая номер банковской карты и CVV код.
Стоит отметить, что Chrome отправляет предупреждение, когда используется автозаполнение для финансовых данных на сайтах без HTTPS шифрования. Чтобы избежать подобных проблем Куосманен рекомендует просто отказаться от автозаполнения, отключив его в настройках браузера.