Hvis du bruger Autofuldførelse funktioner i Safari, visse versioner af IE, Firefox eller Chrome, kan du være at gøre dig selv sårbar over for identitetstyveri og andre angreb, ifølge en sikkerhedsekspert planlagt til at tale på Black Hat konferencen i næste uge . White Hat Security CTO Jeremiah Grossman siger, at de fire store browsere har kritiske svagheder, der endnu ikke er behandlet af de respektive virksomheder, og kan udsætte brugernes passwords, e-mail-adresser, og mere til at angriberne.
Grossman planer om at demo et proof-of-concept angreb på næste uges konference. Som de fleste af os ved, hvis du har autofuldførelse slået til i mange browsere, du bare nødt til at begynde at skrive et bogstav eller to i et af felterne, før de alle udfylde med dit navn og adresse, evt dit kreditkortnummer, og mere . Grossman siger angribere kan blot oprette en side med skjulte formularfelter, der bruger JavaScript til at indtaste bogstaver og tal i hvert felt, indtil den finder en, der er et hit, og browseren autocompletes det.
Brugerne behøver ikke engang at indtaste et enkelt bogstav for angrebet at arbejde-alt, hvad de skal gøre, er at indlæse siden, og de sandsynligvis ville ikke engang være klar over, hvad der sker.
Ifølge Grossman, Autofuldførelse udnytte værker i to de seneste versioner af Safari (4 og 5), samt IE 6 og 7.
Firefox og Chrome er ikke modtagelige for denne særlige angreb, selvom de var sårbare over for en anden: Grossman siger, at de to browsere kan udsætte gemte brugernavne og adgangskoder til gemte steder, hvilket gør det muligt for en cross-site scripting sårbarhed at få fat i info når en bruger logger ind i en Google-konto eller Facebook, for eksempel.
Grunden til han har planer om at afsløre disse sårbarheder på Black Hat er fordi de pågældende virksomheder har tilsyneladende ikke reageret på Grossman forsøg på at kontakte dem om det.
"Jeg ville aldrig har talt om dette offentligt, hvis Apple havde taget dette alvorligt," Grossman fortalte The Register. "Jeg regnede en anden må have fundet det før, fordi det er så hjernedøde enkel." Da han sendte en opfølgende forespørgsel "Jeg har aldrig hørt noget tilbage, menneske eller robot.
"