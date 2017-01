La funzionalità auto-completamento consente di velocizzare l’inserimento dei dati nei form web, evitando la digitazione manuale. Uno sviluppatore finlandese, Viljami Kuosmanen, ha scoperto però una grave vulnerabilità nel browser autofill di Chrome, Safari e Opera che potrebbe essere sfruttata da malintenzionati per rubare le informazioni personali degli utenti. Lo stesso rischio si corre utilizzando alcune estensioni, come LastPass.

L’auto-completamento è molto comodo soprattutto quando viene chiesto l’inserimento di numerose informazioni, ad esempio su un sito di e-commerce. Un cybercriminale potrebbe però eseguire un attacco di phishing convincendo l’utente a digitare i suoi dati su un sito simile all’originale. Nella pagina web vengono mostrati pochi campi del form, ad esempio nome e indirizzo email, ma in realtà ci sono altri campi nascosti. Ciò significa che verranno inserite anche informazioni più sensibili, come indirizzo di residenza, numero di telefono, data di nascita e dati della carta di credito (numero, data di scadenza e CVV).

Lo sviluppatore ha verificato l’esistenza del problema su Chrome, la cui funzione autofill è attivata di default, ma la stessa vulnerabilità è presente su Safari e Opera. Firefox è invece immune perché, al momento, non ha un sistema di auto-completamento multi-box (l’utente deve cliccare sui singoli campi del form).

This is why I don't like autofill in web forms. #phishing #security #infosec pic.twitter.com/mVIZD2RpJ3

— Viljami Kuosmanen ⭐ (@anttiviljami) January 4, 2017