Autouzupełnianie: przeglądarki ujawniają poufne dane

Zezwalając przeglądarce internetowej na automatyczne wypełnianie często używanych danych formularzowych, takich jak nazwa użytkownika czy adres e-mailowy, w niektórych sytuacjach możemy stać się łatwym celem dla złodziei informacji.

W wywiadzie udzielonym serwisowi The Register ostrzega przed tym Jeremiah Grossman z White Hat Security, który szykuje się do wygłoszenia prelekcji na konferencji Black Hat. Według niego dane uzupełniane przez Safari 4 i 5 można odczytywać w zautomatyzowany sposób za pośrednictwem JavaScriptu.

Autouzupełnienie następuje dopiero po wpisaniu znaku. Stąd też na spreparowanej stronie WWW specjalny skrypt wypróbowuje wszystkie litery początkowe w typowych polach formularzy dotyczących na przykład nazwy użytkownika, adresu e-mailowego, czy numeru karty kredytowej. Gdy przeglądarka uzupełni literę do pełnego wyrazu, skrypt analizuje wstawioną wartość. W przypadku zastosowania ukrytych pól formularzy operacja ta może się odbywać w sposób niewidoczny.

Już 17 czerwca Grossman poinformował Apple'a o wycieku danych, ale poza automatycznym potwierdzeniem odbioru wiadomości nie otrzymał dotąd odpowiedzi. Podobną postać ma znany scenariusz ataku na microsoftową przeglądarkę Internet Explorer w wersjach 6 i 7. W połączeniu z techniką Cross-Site Scripting podatne na tego rodzaju zagrożenia są też Chrome i Firefox – w ten sposób można pozyskać dane, które browser uzupełnia tylko w przeznaczonej dla nich witrynie, a więc na przykład hasła logowania.

Poza tym Grossman pokaże na konferencji Black Hat, że dowolne strony WWW potrafią zniszczyć wszystkie pliki cookie przechowywanych w przeglądarce. W tym celu przesyła się ogromną liczbę ciasteczek do browsera, który od pewnej ich liczby zacznie po prostu nadpisywać najstarsze – i to niezależnie od ich pochodzenia. W ten sposób po upływie 2,5 sekundy i otrzymaniu 3 tysięcy cookies w Firefoksie nie będzie już śladu po ciasteczkach użytkownika.

wydanie internetowe www.heise-online.pl