Als u de autocomplete functies in Safari, bepaalde versies van IE, Firefox of Chrome te gebruiken, kon je maak je jezelf kwetsbaar voor identiteitsdiefstal en andere aanvallen, volgens een security-onderzoeker gepland op de Black Hat conferentie te spreken volgende week. White Hat Veiligheid CTO Jeremiah Grossman zegt dat de vier grote browsers hebben kritieke zwakke punten die nog door hun respectieve bedrijven worden aangepakt, en wachtwoorden van gebruikers, e-mailadressen kunnen worden blootgesteld, en meer om aanvallers.
Grossman plannen om een aanval op volgende week de conferentie proof-of-concept demo. Zoals de meesten van ons weten, als je autocomplete ingeschakeld in veel browsers, maar je moet beginnen met een letter te typen of twee in een van de velden voordat ze allemaal in te vullen met uw naam en adres, eventueel uw creditcardnummer, en meer . Grossman zegt aanvallers kan gewoon een pagina met verborgen formulier velden die JavaScript gebruiken om de letters en cijfers in elk veld in te voeren totdat er een die een hit, en de browser autocompletes het.
Gebruikers hoeven niet eens te voert een enkele brief voor de aanval te werken-alles wat ze moeten doen is het laden van de pagina, en ze zouden waarschijnlijk niet eens bewust zijn van wat er gebeurt.
Volgens Grossman, de autocomplete exploit werkt in de twee meest recente versies van Safari (4 en 5), evenals IE 6 en 7.
Firefox en Chrome niet gevoelig zijn voor deze specifieke aanval, hoewel ze kwetsbaar zijn voor een andere: Grossman zegt dat de twee browsers opgeslagen gebruikersnamen kunnen blootstellen en wachtwoorden voor websites opgeslagen, waardoor het mogelijk is voor een cross-site scripting kwetsbaarheid voor de info te grijpen wanneer een gebruiker inlogt op een Google-account of Facebook bijvoorbeeld.
De reden dat hij van plan is om deze kwetsbaarheden op Black Hat bloot is omdat de bedrijven in kwestie hebben blijkbaar niet gereageerd op Grossman's pogingen om contact met hen over.
"Ik zou nooit hebben gesproken over dit openbaar als Apple dit serieus had genomen," Grossman vertelde The Register. "Ik dacht dat iemand anders moet dit al eerder hebben gevonden omdat het zo hersendode eenvoudig." Toen hij stuurde een follow-up vraag "Ik heb nooit iets gehoord terug, mens of robot.
"