Tính năng AutoFill của trình duyệt có thể gây rò rỉ dữ liệu

Để giúp người dùng điền các ô nhập liệu (form)  trên website nhanh hơn, Google Chrome và các trình duyệt lớn khác cung cấp tính năng “Autofill” – tự động điền dữ liệu dựa trên các lần nhập trước đó. Nhưng tin tặc có thể lợi dụng chính tính năng này để đánh lừa người dùng.

Hacker mũ trắng  Viljami Kuosmanen đã đăng tải một bản minh họa trên GitHub cho thấy tin tặc có thể lợi dụng tính năng tự điền, các plugin và công cụ như Password Managers. Mặc dù mẹo này đã được đưa ra vào năm 2013 nhưng dường như Google vẫn chưa xử lý được điểm yếu trong tính năng Autofill.

Bản chứng minh (PoC) là một website chứa ô nhập liệu với chỉ hai trường Tên và Email. Nhưng thực chất rất nhiều trường dữ liệu khác bị ẩn đi, bao gồm cả số điện thoại, tên công ty, địa chỉ, mã bưu chính, thành phố và quốc gia.

Do đó nếu người dùng sử dụng tính năng tự điền và nhấn nút gửi đi, những trường dữ liệu ẩn cũng được gửi mà không hề hay biết. Bạn cũng có thể kiểm tra tính năng này thông qua trang của Kuosmanen .

Tin tặc có thể thêm nhiều trường dữ liệu cá nhân khác như địa chỉ người dùng, số thông tin thẻ tín dụng, ngày hết hạn và mã bảo mật CVV, dù những trường dữ liệu này sẽ kích  hoạt cảnh báo trên Chrome khi dùng với website không phải HTTPS.

Ngoài tính năng tự điền của trình duyệt web Google Chrome, Apple Safari, Opera, các công cụ quản lý mật khẩu như LastPass cũng bị ảnh hưởng.

Sử dụng CSS khiến các trường dữ liệu ẩn đi

Người dùng Firefox không cần lo lắng bởi trình duyệt web này không có hệ thống tự động điền nhiều trường dữ liệu và buộc người dùng phải chọn thủ công các dữ liệu sẵn có.

Tính năng tự động điền được bật mặc định. Người dùng Chome có thể tắt bằng cách:  Settings → Show Advanced Settings →  Passwords and Forms bỏ chọn tại ô Enable Autofill.

Trong Opera, Settings → Autofill

Trong Safari, Preferences → AutoFill

THN