ویژگی تکمیل خودکار در مرورگرها و خطر افشای اطلاعات شخصی

مشخص است که برای تمامی کاربران، تکمیل فیلدها در فرم‌های وب مخصوصاً در تلفن‌های همراه خیلی خوشایند نیست. برای سریع‌تر کردن این فرآیند، شرکت‌هایی همچون گوگل در مرورگر کروم و سایر مرورگرها، ویژگی تکمیل خودکار را ارائه داده‌اند. در این ویژگی فیلدها با استفاده از اطلاعاتی که قبلاً وارد شده، تکمیل می‌شود.

با این حال مهاجمان می‌توانند از ویژگی تکمیل خودکار علیه شما استفاده کنند و باعث شوند شما اطلاعات حساس و مهم خود را برای مهاجمان و یا وب‌گاه‌های ثالث افشاء کنید.
توسعه‌دهنده‌ی فنلاندی و نفوذگر کلاه سفید با نام ویل‌جامی کوسمانن، یک نسخه‌ی نمایشی در گیت‌هاب را نمایش داد که چگونه یک نفوذگر از ویژگی تکمیل خودکار استفاده می‌کند. این ویژگی در بسیاری از مرورگرهای وب، افزونه‌ها و برنامه‌های مدیریت گذرواژه ارائه شده است.

وب‌گاه نمایشی برای اثبات مفهومی این حمله دارای تنها یک فرم است. این فرم نیز دو فیلد نام و آدرس رایانامه را داراست. با این حال همه‌ی فیلدها قابل نمایش نبوده و برخی نیز مخفی هستند. از جمله‌ی این فیلدها می‌توان شماره تماس، سازمان، آدرس، کد پستی، شهر و کشور را نام برد.
بنابراین اگر کاربری با یک پروفایل که در آن ویژگی تکمیل خودکار فعال شده این فرم را تکمیل کرده و دکمه ارسال را بزند، ۶ فیلد مخفی دیگر نیز با گزینه‌های خودکار تکمیل شده و به سمت مهاجمانی که حمله‌ی فیشینگ انجام می‌دهند، ارسال می‌شود. در حالی‌که این فیلدها برای کاربر مخفی است و کاربر اطلاعی از ارسال این فیلدها ندارد. شما می‌توانید از طریق این وب‌گاهِ اثبات مفهومی، ویژگی تکمیل خودکار را در مرورگر خود آزمایش کنید.

این محقق امنیتی عنوان کرد این حمله می‌تواند در حالت بدتری نیز اجرا شود و مهاجمان از فیلدهای مخفی همچون آدرس کاربر، شماره کارت‌های اعتباری، تاریخ انقضای کارت و شماره‌ی CVV۲ استفاده کنند. هرچند در شرایطی که کاربر اطلاعات مالی را وارد می‌کند، اگر وب‌گاه مبتنی بر HTTPS نباشد، برای تکمیل خودکار فیلد، مرورگر کروم هشداری را به کاربر نمایش می‌دهد.
این محقق امنیتی می‌گوید این حمله بر روی مرورگرها و برنامه‌های تکمیل خودکار متنوعی با موفقیت کار می‌کند. از این برنامه‌ها و مرورگرها می‌توان به گوگل کروم، سافاری اپل، اُپرا و برنامه‌ی امنیت اَبر LastPass اشاره کرد. کاربرانی که از مرورگر فایرفاکس موزیلا استفاده می‌کنند لازم نیست نگران این حمله باشند چرا که در این مرورگر ویژگی چند-جعبه‌ای تکمیل خودکار وجود ندارد و کاربران مجبور هستند تمامی فیلدها را دستی وارد کنند.

ساده‌ترین راه برای در امان ماندن از این حملات فیشینگ، غیرفعال کردن ویژگی تکمیل خودکار فیلدها در مرورگرها، برنامه‌های مدیریت گذرواژه و افزونه‌ها است. ویژگی تکمیل خودکار به‌طور پیش‌فرض بر روی مرورگرها فعال است. برای غیرفعال کردن این ویژگی تنظیمات زیر را در مرورگر کروم انجام دهید:
تنظیمات – تنظیمات پیشرفته – بخش گذرواژه و فرم‌ها – غیرفعال کردن ویژگی تکمیل خودکار.

در مرورگر اُپرا به بخش تنظیمات رفته و بخش تکمیل خودکار را غیرفعال کنید. در مرورگر سافاری نیز به بخش تنظیمات رفته و با کلیک بر روی گزینه‌ی تکمیل خودکار، آن را خاموش کنید.

منبع: asis

کانال اخبار فناوری اطلاعات نماد امن

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap