'Autocomplete-functies in browsers zijn onveilig'

Volgens een beveiligingsonderzoeker kan de autocomplete-functie die veel populaire browsers hebben, worden gebruikt om persoonlijke gegevens te ontfutselen. Om exploits tegen te gaan, zou de functie moeten worden uitgeschakeld.

Jeremiah Grossman van WhiteHat Security zal op de Black Hat 2010-conferentie, die deze week in Las Vegas wordt gehouden, een lezing geven onder de titel 'Breaking browsers: hacking auto-complete'. Volgens de beveiligingsonderzoeker is het mogelijk om via exploits informatie uit de autocomplete-functie te halen. Veel browsers passen deze functie toe, zodat gebruikers webformulieren sneller kunnen invullen.

Grossman zegt afzonderlijke exploits voor autocomplete te hebben gemaakt voor Internet Explorer 6 en 7, Safari, Chrome en Firefox. Een bug die Grossman in Internet Explorer 8 had aangetroffen zou al eerder zijn gevonden, maar Microsoft zou het gat nog niet hebben gedicht. Behalve persoonlijke data als adressen of e-mailadressen zou het in bepaalde gevallen ook mogelijk zijn om wachtwoorden of bankgegevens buit te maken.

Volgens de beveiligingsonderzoekers zijn de tools die hij gebruikt om de fouten in de autocomplete-functie te gebruiken vrij eenvoudig. Ook zou Grossman de browserbouwers over de problemen hebben geïnformeerd. Totdat de bugs met patches zijn gedicht, is het voor internetsurfers veiliger om deze functie geheel uit te schakelen, zo stelt hij.

Reacties (59)

Willem-Jan1991 28 juli 2010 16:30

Apple heeft zojuist een nieuwe versie van Safari uigebracht (5.01 voor Windows, Leopard en Snow Leopard en 4.1.1 voor Tiger).
Hierin is het autocomplete feature beter beveiligd. En verder nog wat verbeteringen aan webkit. Ook de extensies zijn geactiveerd. http://extensions.apple.com/

[Reactie gewijzigd door Willem-Jan1991 op 27 juli 2024 09:37]

Azerox 28 juli 2010 15:19

We weten allemaal dat alle browers/OS;en vol met lekken zitten, die waarschijnlijk op dit moment zelfs misbruikt worden, maar waar niemand nog iets van weet.

Vind dit dan ook geen raar bericht.

bartvb

@Azerox • 28 juli 2010 15:22

Tweakers.net is ook geen rariteitenkabinet

Overigens heeft hij deze man een proof of concept online gezet voor Safari:

http://ha.ckers.org/weird/safari_autofill.html

Best impressive, ook vreemd dat dit nooit eerder opgepikt is. Ik heb m'n autocomplete iig uit staan nu

LooneyTunes @bartvb • 28 juli 2010 18:35

http://ha.ckers.org/weird/safari_autofill.html

Best impressive, ook vreemd dat dit nooit eerder opgepikt is. Ik heb m'n autocomplete iig uit staan nu

Searching "name":
Searching "company":
Searching "city":
Searching "state":
Searching "country":
Searching "email":

En dat met Safari op Win7 (met autofill niet uit).. Hier kan ik mee leven

Verwijderd @LooneyTunes • 29 juli 2010 01:05

Ik weet niet hoor, maar voor zover ik kan beoordelen is dit alleen user-facing, en heeft de server daar geen enkele toegang toe. Kan me zelfs amper voorstellen dat JS hier toegang toe heeft,, dan zou 't eventueel wel via 'n AJAX-tooltje naar de server verstuurd kunnen worden, maar lijkt me dus heel sterk. Ik lig hier niet wakker van, en hou m'n autocomplete lekker aan

grwl @bartvb • 28 juli 2010 16:44

Het enigste wat ze vinden is mijn naam en het land waar ik woon.
Jammergenoeg(?) kunnen ze dit ook perfect te weten komen als ik ze een mail stuur.
Voor de rest, ik vind het zoals bij veel dingen, ik heb het liever aan staan. Je kan het uitzetten, maar dan gaat er weer een deel confort en gemak verloren.
Je kan natuurlijk altijd naar iets gaan zoals 1password. Al weet ik niet of dat dan weer ook zo hackveilig is...

afterburn @bartvb • 29 juli 2010 07:00

Heb het geprobeert (Safari 5.01, OSX 10.6.4), maar geen resultaat. En voor dit soort dingen ga ik iig niet mijn leven moeilijker maken. Ik let op wat voor sites ik bezoek en een beetje gezond verstand gaat verder dan een hoop exploits.

desalniettemin

Browsers

@bartvb • 28 juli 2010 15:25

En hoe zet je dat dan uit?

Ik gebruik Firefox 4.0 b2

Fidesnl @desalniettemin • 30 juli 2010 02:19

Op dit soort momenten vraag ik me altijd af: 'Waarom gebruik jij een beta!?'

Niet echt zeer verrassend nieuws. En ik maak me er ook niet druk om, want volgens mij is 90% van de dingen die ik daar invul ook wel terug te vinden op hyves (en dan heb ik het over de privé gegevens die ik daar invul, zoals woonplaats e.d.)

Facer @desalniettemin • 28 juli 2010 15:27

In Firefox 3.6.8 en is denk ook nog wel van toepassing op 4.0 b2 is het:

Extra --> Opties --> Privacy --> Firefox zal: Aangepast instellingen gebruiken voor geschiedenis. Checkbox uitvinken met de beschrijving: "Zoek- en formuliergeschiedenis onthouden".

desalniettemin

Browsers

@Facer • 28 juli 2010 15:32

Bedankt

Verwijderd @gassiepaart • 29 juli 2010 01:03

Als je 't antwoord paraat hebt, of je hebt uberhaupt geen principiële bezwaren tegen het helpen van anderen, dan geef je toch effe antwoord? Merk ook in het forum vaak dat mensen 10 seconden die ze aan 'n antwoord kunnen besteden en daarmee iemand kunnen helpen, liever besteden aan "Google 't effe", en af en toe zelfs ronduit botte opmerkingen. Ik begrijp 't ergens wel, maar vriendelijk is anders.

[Reactie gewijzigd door Verwijderd op 27 juli 2024 09:37]

BaRF @bartvb • 28 juli 2010 16:48

wat zou die knop moeten doen? Hier met ie8 gebeurd er niks in elk geval

PaulBloem

@Azerox • 28 juli 2010 15:20

Geen raar bericht, maar wel een handig bericht..

wootah

@PaulBloem • 28 juli 2010 15:27

pff... alles wat je opslaat is vatbaar voor hackers...
autocomplete is niks anders dan dingen op slaan...
dus voor mij komt dit niet uit de lucht vallen

Soldaatje @wootah • 28 juli 2010 15:37

Nou voor mij wel, het is toch iets voor de gebruiker niet de dat de server even kan meekijken.
Het zijn geen cookies ofzo.

[Reactie gewijzigd door Soldaatje op 27 juli 2024 09:37]

tss68nl @Azerox • 28 juli 2010 16:29

Jah, ik vind het ook een beetje een Stichting Open Deur publicatie van deze onderzoeker. Wel leuk dat hij de moeite heeft genomen om een proof-of-concept te bouwen.

Maar goed. Iedereen met een beetje computer verstand snapt dat als je passwords gaat opslaan in je browser welke deze dan vervolgens automatisch doorgeeft aan de doelpagina, dat inherent onveilig is. Liever houdt je zelf de controle over het invullen van je passwords.

Mar2zz @tss68nl • 28 juli 2010 18:44

Behalve het feit dat je passwords dan 24/7 blootgesteld zijn aan het internet (mits je pc en browser aanstaat), is het daadwerkelijke moment van invullen met de hand net zo onveilig als dit geautomatiseerd doen.

Jaap-Jan @Mar2zz • 28 juli 2010 21:13

Wel dus.

[Reactie gewijzigd door Jaap-Jan op 27 juli 2024 09:37]

Luminair @Azerox • 29 juli 2010 13:27

Wel apart eigenlijk; laatst waren er meerdere berichten dat alleen Apple's Safari dit deed, die heeft het in 5.0.1 weer gefixt.

...Of toch niet?

sleezball 28 juli 2010 15:26

Hoewel de auto complete functies ook in Opera zitten wordt er in dit artikel niet over Opera gesproken.

Betekend dat nu dat Opera niet kwetsbaar is of hebben ze Opera niet meegenomen vanwege gebruikers aantallen..? Aangezien ik en veel mensen in mijn omgeving Opera gebruiken zou ik dat toch graag willen weten...

b2vjfvj75gjx7 @sleezball • 28 juli 2010 15:39

Opera kent geen strikte autocomplete...

Autocomplete houdt in dat er een soort van database wordt aangelegd van álle entries die je ooit in bv. een "name-field" heb ingevuld.

Bij Opera kan je onder "preferences --> form" maximaal één entry definiëren waarvan je wilt dat die automatisch naar bovenkomt in een overeenkomstig veld.

Maar als je een afwijkende entry in dat veld invoert, wordt dat de volgende keer niet automatisch aangevuld; een brute-force attack zoals in dit artikel wordt omschreven gaat bij Opera dus niet werken, omdat er maar één entry wordt onthouden.

[Reactie gewijzigd door b2vjfvj75gjx7 op 27 juli 2024 09:37]

SMGGM @sleezball • 28 juli 2010 15:35

Opera waarschijnlijk niet kwetsbaar omdat je daar op CTRL + ENTER moet drukken voordat de gegevens in de invoervelden komen te staan. Bij IE, Firefox enz staan de wachtwoorden er gewoon meteen als je op de website komt.

Waarschijnlijk als je de extensie secure login in Firefox gaat gebruiken dat je bij Firefox ook veilig bent. https://addons.mozilla.org/nl/firefox/addon/4429/
Is maar een gedacht hé, ben er niet zeker van

[Reactie gewijzigd door SMGGM op 27 juli 2024 09:37]

Hipska 28 juli 2010 15:23

op ha.ckers.org staat een proof of concept waar je kan testen wat die scripts dan allemaal over je kunnen te weten komen.
Edit: Blijkbaar enkel voor Safari (en Chrome?)

[Reactie gewijzigd door Hipska op 27 juli 2024 09:37]

Kiswum @Hipska • 28 juli 2010 15:52

Aangezien er 2 mensen iets over de site zeggen had je er net zo goed (als dat nog niet is) een link kunnen neerzetten waarbij je spyware automatisch download.

Als je op een site als tweakers al op een link als hierboven klikt laat staan hoeveel mensen dat doen op een site als prikbord.startpagina.nl?

hostname @Kiswum • 28 juli 2010 16:22

Behalve dan dat er geen spyware wordt gedownload...

DarkKnight @Hipska • 28 juli 2010 15:55

Het werkt niet automatisch als je NoScript gebruikt. Ik moest handmatig ha.ckers.org rechten geven om javascript te mogen uitvoeren.

Oh, en ik zie dat het sowieso niet werkt op FF (zie demonic reply feitelijk). Maargoed, geeft aan dat NoScript toch best wel handig is.

[Reactie gewijzigd door DarkKnight op 27 juli 2024 09:37]

Keypunchie

Beveiliging

@DarkKnight • 28 juli 2010 16:16

Tsja, ik heb op NoScript dan weer ingesteld staan dat een domein dat ik bezoek zelf wel automatisch scripts kan uitvoeren (dus alleen beveiliging tegen cross-scripting).

En dan nog blokkeert NoScript vaak toch net iets te veel functionaliteit en zit ik ermee te klooien

Het is in ieder geval geen programma dat mijn vader en moeder kunnen gebruiken tijdens het surfen.

Dick @Hipska • 28 juli 2010 17:10

Dat script doet toch niks anders dan de aanwezige autocomplete entry's aan mij te laten zien? De gegevens worden nergens opgeslagen of later weergegeven, serverside is er dus helemaal niets te zien lijkt mij...

Daarbij lijkt het mij dat iedereen moet kunnen snappen dat dat soort gegevens te achterhalen zijn, maar who cares? Wie mijn naam, adres, telefoonnummer, geboortedatum etc. etc. willen weten kan simpelweg even googlen of op hyves ed. kijken. Waarom zou het mij uitmaken dat iemand die gegevens van mij heeft?

2playgames @Dick • 28 juli 2010 17:16

Dit script laat ze alleen zien, maar een kwaadaardig script kan ze naar de server sturen om op te slaan.

Soldaatje @Hipska • 28 juli 2010 15:36

Nou ik weet niet wat ik moet doen, er staat "name" en een textbox, vervolgens een page not found error, in het adres staat ook iets over safari ik heb firefox, misschien dat dat het is.

demonic @Hipska • 28 juli 2010 15:39

op FF en opera krijg ik niks te zien.(behalve searching "name" enzo.)

op IE8 krijg ik onderaan in de statusbalk, fouten op de pagina...

PaulBloem

28 juli 2010 15:20

hmm dat is wel erg jammer.. want ik vind het wel erg prettig werken... denk aan vaste gegevens als adressen en dergelijke.. (nu snap ik ook gelijk waarom ik het moet uitschakelen

)

Verwijderd @PaulBloem • 28 juli 2010 15:56

autofill is altijd het tweede wat ik uit zet in een vers geinstalleerde browser, het eerste is wachtwoorden onthouden

rookie no. 1 28 juli 2010 15:52

Och dit is al zo bekend en logisch. Maar owee als ik deze instellingen voor zakelijke of privé personen uitschakel. Dan is de hel te klein!

Gebruiksgemak gaat voor alles...

stresstak @rookie no. 1 • 28 juli 2010 16:26

Dat is dan ook waarmee alle spionnen van de overheid, google, etc schermen. Kijk eens wat handig voor je: autocomplete, auto-inlog, alle databases gecombineerd tot 1, 1 pasje voor alles, 1 sofinummer voor alles. En dan hebben ze je. Dan geef je alles onbewust en onbedoeld door aan eenieder die jhet maar weten wil.

Gammort 29 juli 2010 01:36

Het verbaast me niets, ik twijfel al sinds het bestaan van deze functie over de veiligheid ervan. Als het wordt opgeslagen dan is er altijd wel een manier om er toegang tot te krijgen. Dat geldt niet alleen voor de auto-complete functie.

blorf @Gammort • 29 juli 2010 09:47

Niet mee eens. Het gaat om data die alleen dient om de werking/gebruiksvriendelijkheid van een browser te verbeteren. Ik heb me nooit met browserontwikkeling beziggehouden, maar is het niet gewoon een kwestie van slecht programmeren als een browser zomaar bepaalde gegevens die puur intern bedoeld zijn van buitenaf bereikbaar maakt.
Er zit blijkbaar een achterdeur op een plaats waar zoiezo geen deur nodig was.

morrowyn 28 juli 2010 15:27

Geniaal hoor. Dankzij dit kat en muis spel worden de systemen steeds veiliger en de lat wordt dan weer hoger gelegd voor de hackers en speurders.

Al met al een goede ontwikkeling dus.

Nadeel is alleen als jij het lijdend voorwerp in het geheel bent, want id fraude is gewoon lijden.

Pjotr 28 juli 2010 15:29

Het is sowieso af te raden om autocomplete te gebruiken voor zaken als de inlogcodes van je bank, passwords etc. ook als je computer ( tijdelijk) in vreemde handen valt.

Verwijderd 28 juli 2010 16:28

Zelfs zonder exploit is een autocomplete functie enorm gevaarlijk... Zie dat bij ons op het werk, waar je nog steeds kunt inloggen op een wiki website met het account van iemand die al maanden bij ons weg is. Simpelweg omdat zijn username & password in de autocomplete staan....

Je moet dus sowieso nooit belangrijke gegevens in een autocomplete zetten. Dat de autocomplete functie ook nog te hacken valt, is wat dat betreft totaal niet interessant...

Op dit item kan niet meer gereageerd worden.

'Autocomplete-functies in browsers zijn onveilig'

Lees meer

Reacties (59)

Sorteer op:

Weergave: