Autofill di Browser Bisa Digunakan untuk Mencuri Rincian Pribadi

Fitur autofill di browser atau autofill password manager mungkin secara tidak sengaja memberikan informasi pengguna kepada pelaku pishing dengan menggunakan kotak teks tersembunyi di situs.

Pengembang web asal Finlandia dan hacker Viljami Kuosmanen menemukan bahwa beberapa web browser, termasuk Google Chrome, Apple Safari dan Opera, serta beberapa plugin dan utilitas seperti LastPass, bisa diakali agar memberikan informasi pribadi pengguna melalui sistem autofill berdasarkan profil.

Serangan phising yang terjadi bisa dikategorikan brutal. Kuosmanen menemukan bahwa ketika pengguna mencoba untuk mengisi informasi dalam beberapa kotak teks sederhana, seperti nama dan alamat email, sistem autofill yang dimaksudkan untuk menghindari pengulangan membosankan informasi standar seperti alamat akan memasukan informasi lain berdasarkan profil ke setiap kotak teks lain, bahkan ketika kotak-kotak tersebut tidak terlihat pada halaman situs.

Hal ini berarti bahwa ketika pengguna menginput informasi dasar dalam sebuah situs, sistem autofill dapat memberikan informasi yang jauh lebih sensitif pada saat yang sama saat pengguna mengkonfirmasi autofill tersebut. Sistem autofill Chrome yang diaktifkan secara default, menyimpan data alamat email, nomor telepon, alamat surat, organisasi, informasi kartu kredit dan berbagai potongan informasi lainnya.

Kuosmanen mempraktikkan hal ini dengan cara membuat sebuah situs yang menunjukkan kotak teks untuk nama dan alamat email pengguna di mana kotak teks untuk alamat dan nomor telepon yang tersembunyi dari pandangan otomatis diisi oleh Chrome.

Kabar baiknya, Mozilla Firefox  kebal terhadap masalah karena belum memiliki sistem autofill multi-box dan tidak dapat tertipu untuk mengisi kotak teks sehingga lebih aman. Nah bagi Anda yang sering menggunakan fitur autofill ini sebaiknya menghentikan fitur autofill ini untuk sementara sampai ada perbaikan lebih lanjut.

Sumber: The Guardian

Sumber Foto: Pipelinersales