نماد سایت اتاق خبر شبکه گستر

مراقب قابلیت Form Autofill باشید!

قابلیت Form Autofill در مرورگرهایی نظیر Chrome به‌صورت بالقوه می‌تواند ابزاری برای سرقت اطلاعات شخصی کاربر و استفاده از آنها در حملات کلاهبرداری (Phishing) باشد. این موضوع را روز پنجشنبه، 16 دی ماه، یک برنامه‌نویس فنلاندی با به اشتراک‌گذاری نسخه‌ای نمایشی مطرح کرد.

Form Autofill یک از قابلیت‌های جدید اضافه شده در مرورگرهای مدرن امروزی است. این قابلیت، کاربر را قادر می‌کند تا با ایجاد یک نمایه (Profile) حاوی اطلاعاتی که معمولاً در فرم‌های تحت وب (Web Form) توسط کاربر ارائه می‌شوند، فرآیند ورود این اطلاعات را در چنین فرم‌هایی از طریق مرورگر خودکارسازی کند.

برای مثال، در مرورگر Chrome زمانی که کاربر فرم اینترنتی را برای نخستین بار تکمیل می‌کند از او درباره ذخیره آن اطلاعات برای استفاده از آنها در فرم‌های مشابه سئوال می‌شود.

در این صورت در آینده زمانی که کاربر تصمیم به تکمیل یک فرم می‌گیرد براحتی می تواند یک نمایه را انتخاب کرده و سایر فیلدهای موجود در صفحه به‌صورت خودکار توسط مرورگر تکمیل می‌شود. موضوعی که سبب صرفه‌جویی در وقت کاربر در فرم‌های اینترنتی می‌شود.

به گزارش شرکت مهندسی شبکه گستر، یک برنامه‌نویس فنلاندی نسخه‌ای نمایشی را منتشر کرده که نشان می‌دهد چگونه یک مهاجم می‌تواند از این قابلیت سوءاستفاده کند.

نسخه نمایشی این برنامه‌نویس که در اینجا قابل دسترس است یک فرم ساده تحت وب است. کاربر در این صفحه تنها دو فلید ورودی Name و Email و یک دگمه Submit را مشاهده می‌کند. اما با مراجعه به کد منبع (Source Code) مشخص می‌شود که شش فیلد دیگر شامل Phone،و Organization،و Address،و Postal Code،و City و Country نیز به‌صورت مخفی در صفحه موجود است.

بنابراین، در صورت فعال بودن قابلیت Form Autofill علاوه بر تکمیل دو فیلد Name و Email توسط کاربر، فیلدهای دیگر نیز به‌صورت خودکار تکمیل می‌شوند.

باقی ماجرا در یک نمونه واقعی قابل حدس زدن است. با کلیک بر روی دگمه Submit علاوه بر اطلاعات درج شده در دو فیلد مذکور، اطلاعات وارد شده در فیلدهای Phone،و Organization،و Address،و Postal Code،و City و Country نیز بدون اطلاع کاربر به سرور فرماندهی ارسال شده و هکر قادر خواهد بود تا از آنها در بخش‌های مهندسی اجتماعی حملات آتی بهره‌جویی کند.

مرورگرهای Google Chrome،و Safari و Opera همگی دارای قابلیت Form Autofill هستند. شرکت Mozilla هم در حال آماده‌سازی چنین قابلیتی برای اضافه کردن آن به مرورگر Firefox است.

اما با توضیحات بالا مشخص می‌شود که فعال بودن چنین قابلیتی بی‌خطر نیست. بنابراین به آن دسته از کاربرانی که بر روی محرمانگی اطلاعات شخصی خود حساسیت بالایی دارند توصیه می‌شود که این قابلیت را غیرفعال کنند.

خروج از نسخه موبایل