Auto-preenchimento de navegadores pode ser usado para roubar dados pessoais

Criada para agilizar a vida dos usuários, a função de auto-preenchimento, presente na maioria dos navegadores e também em extensões de gerenciadores de senha, não possui um nível de segurança muito confiável. Foi descoberto que ela pode ser utilizada para roubar informações suas como nome completo, endereço e até dados do cartão de crédito.

O desenvolvedor e hacker finlandês Viljami Kuosmanen descobriu que vários navegadores (Google Chrome, Safari e Opera, por exemplo) bem como alguns plugins e extensões (como a do LastPass) podem ser “enganados” e distribuir informações pessoais de um usuário através dos seus sistemas de preenchimento automático.

O que acontece nesse ataque é que, para o usuário, ele está apenas preenchendo informações básicas (login e e-mail, por exemplo) mas, na verdade, existem mais campos que estão “escondidos” e que também acabam sendo preenchidos automaticamente assim que o usuário “aceita” preencher os campos à mostra. Kuosmanem fez uma simulação e a compartilhou a fim de divulgar a ameaça.

Até o momento, o único navegador que está isento do problema é o Firefox, pelo fato de não ter ainda a função de preenchimento automático de múltiplos campos. Entretanto, a vulnerabilidade pode aparecer em próximas versões pois a funcionalidade está em desenvolvimento — como relata o engenheiro de segurança da Mozilla, Daniel Veditz.

Para se proteger deste tipo de ataque de phishing, por enquanto, a opção é desativar a função de preenchimento automático nos navegadores que você utilizar e também em plugins e extensões.

Fonte: The Guardian