قابلیت Form Autofill در مرورگرهایی نظیر Chrome بهصورت بالقوه میتواند ابزاری برای سرقت اطلاعات شخصی کاربر و استفاده از آنها در حملات کلاهبرداری (Phishing) باشد. این موضوع را روز پنجشنبه، 16 دی ماه، یک برنامهنویس فنلاندی با به اشتراکگذاری نسخهای نمایشی مطرح کرد.
Form Autofill یک از قابلیتهای جدید اضافه شده در مرورگرهای مدرن امروزی است. این قابلیت، کاربر را قادر میکند تا با ایجاد یک نمایه (Profile) حاوی اطلاعاتی که معمولاً در فرمهای تحت وب (Web Form) توسط کاربر ارائه میشوند، فرآیند ورود این اطلاعات را در چنین فرمهایی از طریق مرورگر خودکارسازی کند.
برای مثال، در مرورگر Chrome زمانی که کاربر فرم اینترنتی را برای نخستین بار تکمیل میکند از او درباره ذخیره آن اطلاعات برای استفاده از آنها در فرمهای مشابه سئوال میشود.
در این صورت در آینده زمانی که کاربر تصمیم به تکمیل یک فرم میگیرد براحتی می تواند یک نمایه را انتخاب کرده و سایر فیلدهای موجود در صفحه بهصورت خودکار توسط مرورگر تکمیل میشود. موضوعی که سبب صرفهجویی در وقت کاربر در فرمهای اینترنتی میشود.
یک برنامهنویس فنلاندی نسخهای نمایشی را منتشر کرده که نشان میدهد چگونه یک مهاجم میتواند از این قابلیت سوءاستفاده کند.
نسخه نمایشی این برنامهنویس که در سایتِ https://anttiviljami.github.io/browser-autofill-phishing قابل دسترس است یک فرم ساده تحت وب است. کاربر در این صفحه تنها دو فلید ورودی Name و Email و یک دگمه Submit را مشاهده میکند. اما با مراجعه به کد منبع (Source Code) مشخص میشود که شش فیلد دیگر شامل: Phone، Organization، Address، Postal Code، City و Country نیز بهصورت مخفی در صفحه موجود است.
بنابراین، در صورت فعال بودن قابلیت Form Autofill علاوه بر تکمیل دو فیلد Name و Email توسط کاربر، فیلدهای دیگر نیز بهصورت خودکار تکمیل میشوند.
باقی ماجرا در یک نمونه واقعی قابل حدس زدن است. با کلیک بر روی دگمه Submit علاوه بر اطلاعات درج شده در دو فیلد مذکور، اطلاعات وارد شده در فیلدهای: Phone، Organization، Address، Postal Code، City و Country نیز بدون اطلاع کاربر به سرور فرماندهی ارسال شده و هکر قادر خواهد بود تا از آنها در بخشهای مهندسی اجتماعی حملات آتی بهرهجویی کند.
مرورگرهای Google Chrome، Safari و Opera همگی دارای قابلیت Form Autofill هستند. شرکت Mozilla هم در حال آمادهسازی چنین قابلیتی برای اضافه کردن آن به مرورگر Firefox است.
اما با توضیحات بالا مشخص میشود که فعال بودن چنین قابلیتی بیخطر نیست. بنابراین به آن دسته از کاربرانی که بر روی محرمانگی اطلاعات شخصی خود حساسیت بالایی دارند توصیه میشود که این قابلیت را غیرفعال کنند.
