Volgens een beveiligingsonderzoeker kan de autocomplete-functie die veel populaire browsers hebben, worden gebruikt om persoonlijke gegevens te ontfutselen. Om exploits tegen te gaan, zou de functie moeten worden uitgeschakeld.
Jeremiah Grossman van WhiteHat Security zal op de Black Hat 2010-conferentie, die deze week in Las Vegas wordt gehouden, een lezing geven onder de titel 'Breaking browsers: hacking auto-complete'. Volgens de beveiligingsonderzoeker is het mogelijk om via exploits informatie uit de autocomplete-functie te halen. Veel browsers passen deze functie toe, zodat gebruikers webformulieren sneller kunnen invullen.
Grossman zegt afzonderlijke exploits voor autocomplete te hebben gemaakt voor Internet Explorer 6 en 7, Safari, Chrome en Firefox. Een bug die Grossman in Internet Explorer 8 had aangetroffen zou al eerder zijn gevonden, maar Microsoft zou het gat nog niet hebben gedicht. Behalve persoonlijke data als adressen of e-mailadressen zou het in bepaalde gevallen ook mogelijk zijn om wachtwoorden of bankgegevens buit te maken.
Volgens de beveiligingsonderzoekers zijn de tools die hij gebruikt om de fouten in de autocomplete-functie te gebruiken vrij eenvoudig. Ook zou Grossman de browserbouwers over de problemen hebben geïnformeerd. Totdat de bugs met patches zijn gedicht, is het voor internetsurfers veiliger om deze functie geheel uit te schakelen, zo stelt hij.