Очень многие пользователи часто забывают свои логины и пароли и просто ненавидят на каждом сайте вручную вводить необходимые данные для входа в свою учетную запись. Особенно это касается владельцев мобильных гаджетов. Иногда из-за несовпадения расположения кнопок на обычной клавиатуре и мобильной пользователям очень сложно запомнить свой же пароль на другой раскладке. Именно для того, чтобы избавить людей от этой необходимости, все популярные браузеры имеют функцию запоминания и автоматического ввода паролей на тех сайтах, где это поддерживается. Тем самым пользователь сможет пройти упрощенный процесс авторизации и зайти в свой личный аккаунт, потратив на это гораздо меньше времени. Но именно эта функция в последнее время привлекает внимание хакеров, которые научились с ее помощью похищать личную информацию пользователей и использовать ее в своих целях.
Используя функцию автозаполнения хакеры вынуждают людей предоставлять им дополнительные данные о себе. На эту проблему наткнулся финский разработчик Вильями Куосманен. На сайте GitHub он подробно описал, как хакеры могут использовать функцию автозаполнения в своих корыстных целях.
Впервые об этом способе похищения личных данных пользователей стало известно еще 3 года назад. Тогда о нем поведал общественности Рикардо Мартин Родригес из ElevenPaths. С того самого времени об этой проблеме стало известно и компании Google, но она с тех пор не предприняла никаких мер, чтобы избавиться от этой проблемы и предотвратить похищение информации через функцию автозаполнения.
В опубликованном Коусманеном демо отчетливо видно, что созданный им специально для демонстрации проблемы сайт показывается пользователю очень простую форму для заполнения личных данных, включающую в себя только поле для имени и адреса электронной почты. Но от глаз пользователей скрыты еще несколько полей. Они созданы для того, чтобы браузер автоматически ввел дополнительные данные, сохраненные в его памяти. Это может быть номер телефона пользователя, адрес, место работы, дополнительная электронная почта и пр. После того, как человек ввел свои данные в видимые поля, остальные заполняются автоматически. Все данные, указанные в скрытых полях, сразу же передаются мошенникам. При желании злоумышленники могут добавлять скрытые поля для введения платежных данных по кредитной карте пользователя. Так они смогут запросто получить всю нужную информацию для перевода денежных средств на свои счета.
Такую атаку хакеры могут совершить почти в любом самом популярном браузере, ведь в нынешнее время почти все веб-обозреватели поддерживают функцию автозаполнения данных. В частности, это касается самого популярного браузера Google Chrome, Opera и Safari. Даже самый популярный сервис для хранения паролей LastPass не в состоянии защитить пользователей от подобного рода атак. В качестве исключения можно отметить веб-обозреватель Firefox. Он не имеет такой функции, поэтому пользователям приходится все имеющиеся формы заполнять только вручную. Но это не мешает злоумышленникам придумать новый способ, чтобы обманным путем заставить их ввести необходимые им личные данные в поддельные поля.