Fitur autofill dalam browser ini ada untuk membantu membuat seluruh proses pengisian form lebih cepat. Google Chrome dan browser utama lainnya menawarkan fitur autofill. Yang secara otomatis mengisi formulir web berdasarkan data sebelumnya yang pernah kamu input dalam bidang yang sama.
Namun ternyata penyerang dapat menggunakan fitur autofill ini terhadap kamu. Dan menipu kamu agar bisa membocorkan informasi pribadi untuk hacker atau pihak ketiga yang berbahaya.
Developer web Finlandia dan hacker whitehat Viliami Kousmanen menerbitkan demo dalam GitHub. Yang menunjukan bagaimana seorang penyerang bisa mengambil keuntungan dari fitur autofill.
Meskipun trik ini pertama kali ditemukan oleh Ricardo Martin Rodriguez, Analis Keamanan di ElevenPaths, pada tahun 2013. Namun tampaknya Google tidak melakukan apa-apa untuk mengatasi kelemahan dalam fitur autofill.
Situs demo proof-of-concept yang terdiri dari formulir web sederhana dengan hanya dua bidang: Nama dan Email. Tapi apa yang tidak dapat dilihat dan yang tersembunyi dalam bidang input muncul. Termasuk nomor telepon, organisasi, alamat, kode pos, kota, dan negara.
Giving away all your Personal Information Unknowingly
Jadi, jika pengguna mengisi formulir sederhana yang di konfigurasi dengan autofill dalam browser dan mengklik tombol submit, hal itu akan mengirim semua informasi yang ada. Tentu dengan semua bidang yang tersembunyinya juga. Lalu informasi tersebut akan dikirim ke sang phiser. Kamu dapat menguji fitur browser dan ekstensi autofill menggunakan situs PoC Kuosmanen.
Kuosmanen dapat membuat serangan ini lebih buruk. Dengan menambahkan bidang yang lebih pribadi dari pandangan pengguna, termasuk alamat, nomor kartu kredit, tanggal kadaluarsa, dan CVV. Meskipun autofill data keuangan akan memicu peringatan pada Chrome ketika situs tidak menawarkan HTTPS.
Serangan Kuosmanen bekerja terhadap berbagai browser utama dan alat autofill. Termasuk Google Chrome, Apple Safari, Opera, dan bahkan cloud security populer LastPass.
Pengguna Mozilla Firefox tidak perlu khawatir tentang serangan ini. Karena saat ini tidak menggunakan sistem autofill multi-box. Dan pengguna memiliki hak untuk memilih pra-fill data untuk setiap box secara manual.
Oleh karena itu, browser Firefox tidak bisa tertipu mengisi box teks dengan cara yang terprogram, kata insinyur keamanan Mozilla, Daniel Veditz.
Cara paling sederhana untuk melindungi diri terhadap serangan phishing tersebut adalah untuk menonaktifkan fitur pengisian formulir otomatis di browser.
