lunes, 30 de enero de 2017

La opción autocompletar del navegador puede ser utilizada para robar datos personales en un nuevo ataque de phishing

Navegadores

     El desarrollador web y hacker finlandés Viljami Kuosmanen descubrió que varios navegadores web, como Chrome de Google, Safari y Opera de Apple, así como algunos complementos y utilidades como LastPass, pueden ser engañados para revelar información personal de un usuario a través de sus sistemas de autocompletado.


El ataque phising es simple. Kuosmanen descubrió que cuando un usuario intenta rellenar información en algunos cuadros de texto simples, como nombre y dirección de correo electrónico, el sistema de relleno automático, que pretende evitar la tediosa repetición de información estándar como la dirección, introducirá otra información basada en perfiles en cualquier otro cuadro de texto, incluso cuando esos cuadros no son visibles en la página.

Esto significa que cuando un usuario introduce información aparentemente inocente, básica en un sitio, el sistema de relleno automático podría estar revelando mucha más información sensible al mismo tiempo si el usuario confirma el relleno automático. El sistema de relleno automático de Chrome, que se activa de forma predeterminada, almacena datos en direcciones de correo electrónico, números de teléfono, direcciones de correo, organizaciones, información de tarjetas de crédito y varios otros elementos.

Kuosmanen creó un sitio para demostrar el problema, mostrando un cuadro de texto para el nombre de un usuario y dirección de correo electrónico, con cuadros de texto para la dirección y el número de teléfono ocultos de la vista, que Chrome se llenó automáticamente.

Firefox de Mozilla es inmune al problema, ya que aún no tiene un sistema de relleno automático de múltiples cajas y no puede ser engañado para completar cajas de texto por medios programáticos, según el ingeniero de seguridad de Mozilla, Daniel Veditz. Sin embargo, se está desarrollando un sistema de relleno automático más completo para Firefox.

El ataque de phishing todavía depende de que los usuarios sean engañados para ingresar al menos alguna información en un formulario web.

Los usuarios pueden protegerse de este tipo de ataque de phishing desactivando el sistema de relleno automático dentro de su navegador o configurándolo en sus extensiones.

Aquí os mostramos un ejemplo de cómo podrían capturar todos tus datos:


Fuente: The Guardian

No hay comentarios:

Publicar un comentario